锐捷睿易 锐捷官方商城

中文

产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机

园区网交换机

园区网交换机

数据中心与云计算交换机

数据中心与云计算交换机

中小网络精简型交换机

中小网络精简型交换机

工业交换机

工业交换机

意图网络指挥官

意图网络指挥官

SDN

SDN

配件

配件
查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器

核心路由器

核心路由器

汇聚路由器

汇聚路由器

接入路由器

接入路由器

移动路由器

移动路由器

路由器应用软件

路由器应用软件

中小网络路由器

中小网络路由器
查看路由器首页 >

所有技术解决方案

无线

无线所有产品
< 返回产品
无线

放装型无线接入点

放装型无线接入点

墙面型无线接入点

墙面型无线接入点

智分无线接入点

智分无线接入点

室外无线接入点

室外无线接入点

场景化无线

场景化无线

无线控制器

无线控制器

小锐A系列

小锐A系列

无线管理与应用

无线管理与应用
查看无线首页 >

所有技术解决方案

物联网

物联网所有产品
< 返回产品
物联网

物联网基站/网关

物联网基站/网关
查看物联网首页 >

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面

云终端系列

云终端系列

云主机系列

云主机系列

云桌面软件系列

云桌面软件系列

配件系列

配件系列
查看云桌面首页 >

所有技术解决方案

安全

安全所有产品
< 返回产品
安全

大数据安全平台

大数据安全平台

下一代防火墙

下一代防火墙

安全网关

安全网关

检测管理安全

检测管理安全

应用防护安全

应用防护安全

安全服务

安全服务
查看安全首页 >

所有技术解决方案

统一运维

统一运维所有产品
< 返回产品
统一运维

IT运维产品

IT运维产品
查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理

安全管理系列

安全管理系列

运营管理系列

运营管理系列

身份中台

身份中台
查看身份管理首页 >

服务产品

服务产品所有产品
< 返回产品
服务产品

基础实施服务

基础实施服务

基础维护服务

基础维护服务

运维管理服务

运维管理服务

整网服务

整网服务

安全服务

安全服务

备件与扩容服务

备件与扩容服务

培训与认证服务

培训与认证服务
查看服务产品首页 >
产品中心首页 >

官方商城

锐捷睿易

体验中心
行业
行业中心
< 返回主菜单
行业

运营商

运营商
< 返回行业
运营商
运营商首页 >

政府

政府
< 返回行业
政府
政府首页 >

金融

金融
< 返回行业
金融
金融首页 >

互联网

互联网
< 返回行业
互联网
互联网首页 >

电力能源

电力能源
< 返回行业
电力能源
电力能源首页 >

制造业

制造业
< 返回行业
制造业
制造业首页 >

高教/职教

高教/职教
< 返回行业
高教/职教
高教/职教首页 >

普教

普教
< 返回行业
普教
普教首页 >

医疗卫生

医疗卫生
< 返回行业
医疗卫生
医疗卫生首页 >

交通

交通
< 返回行业
交通
交通首页 >

地产酒店文旅·连锁服务

地产酒店文旅·连锁服务
< 返回行业
地产酒店文旅·连锁服务
地产酒店文旅·连锁服务·场馆园区首页 >

公共安全

公共安全
< 返回行业
公共安全
公共安全首页 >
行业中心首页 >

锐捷睿易

体验中心
服务支持
< 返回主菜单
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
合作伙伴
< 返回主菜单
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
关于锐捷
< 返回主菜单
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
投资者关系
登录 登录 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
中文 English 日本語 Türkçe việt nam Indonesi ภาษาไทย Español Português Français Polski România Pусский Deutsch Italiano

首页 >服务与支持 >常见问题 >【RSR】RSR如何配置基于VRRP的IPSEC冗余备份

【RSR】RSR如何配置基于VRRP的IPSEC冗余备份

发布时间:2013-09-12
点击量:3026

功能介绍

RSR系列路由器支持基于VRRP虚接口IP来进行IPSEC的协商。

应用场景

企业的总部有两个出口路由器用来做IPSEC VPN,一主一备,正常情况下,总部和分支机构的数据从主用路由器转发,企业对网络的可靠性要求比较高,当主用路由器出现故障时,能够自动切换到备用路由器,保证总部和分支机构之间还能够正常传输数据、共享资料,那么可以在总部的两个出口路由器上启用基于VRRP的IPSEC冗余备份的功能。

一、组网需求

某企业总部使用R1、R2两台路由器起VRRP连接至互联网,各分支需通过与总部路由器建立IPSEC VPN来对互访的数据进行加密。

同时为了保证两台出口路由器能够起到冗余备份作用,各分支都与VRRP虚IP建立IPSEC VPN。

二、组网拓扑

三、配置要点

1、配置总部路由器和各分支路由器,使其能够正常访问互联网

2、在总部出口路由器上配置动态态IPSEC VPN隧道

(1)R1 VRRP配置

(2)R2 VRRP配置

3、在总部路由器上配置路由,将各分支网段路由指向出口

(1)配置isakmp策略

(2)配置预共享密钥

(3)配置ipsec加密转换集

(4)配置动态ipsec加密图

(5)将动态ipsec加密图映射到静态的ipsec加密图中

(6)将加密图应用到接口

4、在分支路由器上配置静态IPSEC VPN隧道

5、在分支路由器上配置路由,将总部网段路由指向出口

(1)配置ipsec感兴趣流

(2)配置isakmp策略

(3)配置预共享密钥

(4)配置ipsec加密转换集

(5)配置ipsec加密图

(6)将加密图应用到接口

注意:

  • 内网1和内网2需要互访的IP网段不能重叠。
  • RSR50/RSR50E涉及IPSEC功能必须配备AIM-VPN加密卡(如何查看RSR50/RSR50E是否已经配备AIM-VPN加密卡,请查看本文最后的附录部分)

四、配置步骤

1、配置总部路由器和各分支路由器,使其能够正常访问互联网

       保证在分支路由器上能够ping通总部路由器外网口公网IP地址。

2、在总部路由器R1、R2上部署VRRP

(1)R1 VRRP配置

interface GigabitEthernet 0/0

    ip address 10.0.0.2 255.255.255.0

    vrrp 1 priority 110                         //指定R1 VRRP优先级为110(高于默认100),正常情况下使R1为vrrp master

    vrrp 1 ip 10.0.0.1                           //指定VRRP虚IP为10.0.0.1

(2)R2 VRRP配置

interface GigabitEthernet 0/0

    ip address 10.0.0.3 255.255.255.0

    vrrp 1 ip 10.0.0.1                           //指定VRRP虚IP为10.0.0.1

3、在总部出口路由器R1、R2上配置动态态IPSEC VPN隧道

(1)配置isakmp策略

crypto isakmp policy 1                //创建新的isakmp策略

    encryption 3des                         //指定使用3DES进行加密

    authentication pre-share            //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。

(2)配置预共享密钥

crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0                 //配置预共享密钥为“ruijie”,客户端需配置相同的预共享密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端

(3)配置ipsec加密转换集

crypto ipsec transform-set myset esp-des esp-md5-hmac    //指定ipsec使用esp封装des加密、MD5检验

(4)配置动态ipsec加密图

crypto dynamic-map dymymap 5             //新建名为“dymymap”的动态ipsec加密图

    set transform-set myset                           //指定加密转换集为“myset”

(5)将动态ipsec加密图映射到静态的ipsec加密图中

crypto map mymap 10 ipsec-isakmp dynamic dymymap   //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中

(6)将加密图应用到接口

interface GigabitEthernet 0/0

    crypto map mymap

4、在总部路由器R1、R2上配置路由,将各分支网段路由指向出口

       ip route 192.168.1.0 255.255.255.0 10.0.0.4

ip route 192.168.2.0 255.255.255.0 10.0.0.4

ip route 192.168.3.0 255.255.255.0 10.0.0.4

......

5、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)

(1)配置ipsec感兴趣流

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255  //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。

(2)配置isakmp策略

crypto isakmp keepalive 5 periodic  //配置IPSEC DPD探测功能

crypto isakmp policy 1            //创建新的isakmp策略

    authentication pre-share         //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。

    encryption 3des                      //指定使用3DES进行加密

(3)配置预共享密钥

crypto isakmp key 0 ruijie address 10.0.0.1  //指定peer 10.0.0.1的预共享密钥为“ruijie”,该密钥必须与总部路由器上配置的密钥一致。如使用数字证书/信封认证则无需配置。

注意:该peer地址为总部路由器R1、R2的VRRP虚IP.

(4)配置ipsec加密转换集

crypto ipsec transform-set myset  esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验

(5)配置ipsec加密图

crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图

    set peer 10.0.0.1                              //指定peer地址

    set transform-set myset                  //指定加密转换集为“myset”

    match address 101                         //指定感兴趣流为ACL 101

注意:该peer地址为总部路由器R1、R2的VRRP虚IP。

(6)将加密图应用到接口

interface dialer 0

    crypto map mymap

6、在分支路由器上配置路由,将总部网段路由指向出口

       ip route 192.168.0.0 255.255.255.0 dialer 0

 

五、配置验证

1、在R1工作正常的情况下,分支与R1建立ipsec vpn

2、将R1的外网口G0/0 shutdown,此时VRRP master切换到R2上。同时由于分支配置了DPD功能,因此检测到R1故障,清除与R1建立的ISAKMP/IPSEC SA;此时若有新的流量访问总部,则会与R2建立ISAKMP/IPSEC SA。

六、附录

1、如何确认RSR50/RSR50E是否已经配备了AIM-VPN加密卡?

RSR50/RSR50E没有内置VPN加密卡,IPSEC需全部通过进程处理,性能非常低:打500pps 60Byte小包丢50个包,丢包率10%;打2Kpps以上,100%丢包;

在没有插AIM-VPN加密卡的情况下,使用IPSEC功能,可能导致和IPSEC相关的功能异常,比如:在小流量加密数据流情况下CPU即接近100%;ping大包不通等情况。

AIM-VPN卡是一个类似于内存条大小的卡,该卡插在管理板内部,可拔插。

可以通过如下形式确认管理板是否配备AIM-VPN卡:

RSR50#debug su

RSR50(support)#pci show

RSR50(support)#

*Jan 29 13:41:23: %7: =================BEGIN====================

*Jan 29 13:41:23: %7: PCI Bus 0 slot 1/0: PCI device 0x166D:0x0002

*Jan 29 13:41:23: %7: PCI Bus 0 slot 6/0: PCI device 0x104C:0xAC28

*Jan 29 13:41:23: %7: PCI Bus 1 slot 2/0: PCI device 0x14D9:0x0020

*Jan 29 13:41:23: %7: PCI Bus 1 slot 2/1: PCI device 0x1142:0x9001

*Jan 29 13:41:23: %7: PCI Bus 1 slot 3/0: PCI device 0x14D9:0x9000

*Jan 29 13:41:23: %7: PCI Bus 1 slot 3/1: PCI device 0x1142:0x9001

*Jan 29 13:41:23: %7: PCI Bus 1 slot 4/0: PCI device 0x14D9:0x9000

*Jan 29 13:41:23: %7: PCI Bus 1 slot 4/1: PCI device 0x1142:0x9001

*Jan 29 13:41:23: %7: PCI Bus 1 slot 5/0: PCI device 0x14D9:0x9000

*Jan 29 13:41:23: %7: PCI Bus 1 slot 5/1: PCI device 0x1142:0x9001

*Jan 29 13:41:23: %7: PCI Bus 14 slot 1/0: PCI device 0x1131:0x1561

*Jan 29 13:41:23: %7: PCI Bus 14 slot 1/1: PCI device 0x1131:0x1562

*Jan 29 13:41:23: %7: =================_^_====================

只要看到后面有:0x0020的就是有加密卡

*Jan 29 13:41:23: %7: PCI Bus 1 slot 2/0: PCI device 0x14D9:0x0020

 

 

 

相关产品
RG-MF2920系列,2口千兆电,千兆上行,一机双网

RG-MF2920系列,2口千兆电,千兆上行,一机双网
RG-S5310-E系列,24口千兆电,万兆上行,接入层

RG-S5310-E系列,24口千兆电,万兆上行,接入层
RG-S5310-E系列,24口千兆光,万兆上行,接入层

RG-S5310-E系列,24口千兆光,万兆上行,接入层
RG-S5310-E系列,48口千兆电,万兆上行,接入层

RG-S5310-E系列,48口千兆电,万兆上行,接入层
RG-S5310-E系列,48口千兆光,万兆上行,接入层

RG-S5310-E系列,48口千兆光,万兆上行,接入层
RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列新一代千兆交换机
RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
RG-S7800C系列融合核心交换机

RG-S7800C系列融合核心交换机
RG-S7800C-X系列新一代融合核心交换机

RG-S7800C-X系列新一代融合核心交换机
RG-N18006-X,6槽机箱,核心层,零背板

RG-N18006-X,6槽机箱,核心层,零背板
RG-S6120系列,24口万兆光,25G上行,汇聚层

RG-S6120系列,24口万兆光,25G上行,汇聚层
RG-S6120系列,48口万兆光,100G上行,汇聚层

RG-S6120系列,48口万兆光,100G上行,汇聚层
RG-S6120系列融合万兆交换机

RG-S6120系列融合万兆交换机
RG-EG3250新一代多业务安全网关

RG-EG3250新一代多业务安全网关
RG-EG3230新一代多业务安全网关

RG-EG3230新一代多业务安全网关
RG-EG3220新一代多业务安全网关

RG-EG3220新一代多业务安全网关
RG-EG3210 V2新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关
RG-EG3210新一代多业务安全网关

RG-EG3210新一代多业务安全网关
RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-AP820-L(V3)双射频Wi-Fi 6无线AP
RG-WS7005-A多业务无线AC

RG-WS7005-A多业务无线AC
RG-ESS 1000易安全系统

RG-ESS 1000易安全系统
RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP
RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP
RG-WS7208-A多业务无线AC

RG-WS7208-A多业务无线AC
RG-AP880-I双射频Wi-Fi 6无线AP

RG-AP880-I双射频Wi-Fi 6无线AP
RG-WS7880高性能无线AC

RG-WS7880高性能无线AC
RG-EG2100-P V2全能PoE网关

RG-EG2100-P V2全能PoE网关
RG-N18000-X系列

RG-N18000-X系列
RG-N18010-X,10槽机箱,核心层,零背板

RG-N18010-X,10槽机箱,核心层,零背板
RG-EG3000XE新一代高性能综合网关

RG-EG3000XE新一代高性能综合网关
RG-EG3000UE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关
RG-WS6816高性能无线AC

RG-WS6816高性能无线AC
RG-WS6108高性能无线AC

RG-WS6108高性能无线AC
RG-EG3000GE新一代高性能综合网关

RG-EG3000GE新一代高性能综合网关
RG-EG3000ME新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关
RG-EG3000SE新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关
RG-EG3000CE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关
RG-EG2000F

RG-EG2000F
RG-S2900G-E V3系列千兆交换机

RG-S2900G-E V3系列千兆交换机
RG-S2952G-E V3,48口千兆电,千兆上行,接入层

RG-S2952G-E V3,48口千兆电,千兆上行,接入层
RG-SMP安全管理平台

RG-SMP安全管理平台
RG-SMP+安全管理平台

RG-SMP+安全管理平台
您可能还关注的问题

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式