交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
功能介绍
IPSEC多peer互备功能,能够在与主peer的IPSEC VPN协商失败后,自动切换到备peer(可以配置多个备peer)进行IPSEC VPN协商,以达到IPSEC VPN冗余备份的目的。
一、组网需求:
总部路由器通过电信、联通双出口连接到互联网;当电信线路异常中断后,分支能够通过联通线路与总部路由器建立IPSEC VPN,以保证分支与总部间的正常通信。
二、组网拓扑:
三、配置要点:
1、配置基本的IPSEC功能
2、在分支路由器上配置IPSEC多peer互备功能
3、在分支路由器上配置IPSEC DPD功能
四、配置步骤
1、配置基本的IPSEC功能
根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC“基础配置”章节(典型配置--->安全--->IPSEC--->基础配置)
interface GigabitEthernet 0/0
crypto map mymap //将加密图应用到电信出口
interface GigabitEthernet 0/1
crypto map mymap //将加密图应用到联通出口
crypto isakmp key 0 ruijie address x.x.x.x
crypto isakmp key 0 ruijie address y.y.y.y //分别指定电信IP和联通IP对应的预共享密钥
注意:
2、在分支路由器上配置IPSEC多peer互备功能
crypto map mymap 5 ipsec-isakmp
set peer x.x.x.x //指定电信公网IP作为首先peer
set peer y.y.y.y //指定联通公网IP作为备选peer
3、在分支路由器上配置IPSEC DPD功能
IPSEC DPD配置方法参考"IPSEC DPD配置"章节(典型配置--->安全--->IPSEC--->扩展配置--->IPSEC DPD配置”)
注意:
使用IPSEC多peer互备功能时,需要在分支路由器上配置IPSEC DPD功能,以便分支路由器能够检测到peer故障,自动切到第二个peer上。
五、配置验证
1、在分支上发起访问总部的数据连接,触发建立IPSEC VPN。
此时可以看到分支与总部的电信公网IP成功建立了IPSEC VPN。
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
x.x.x.x 10.0.0.1 IKE_IDLE 0 84129 //x.x.x.x为电信公网IP
2、将总部路由器的电信出口线缆断开,同时在分支继续发起访问总部的数据。
此时可以看到分支与总部的联通公网IP成功建立了IPSEC VPN。
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
y.y.y.y 10.0.0.1 IKE_IDLE 0 84129 //x.x.x.x为电信公网IP