Cisco ❀ IPsec与VRRP的应用实例

IPsec VPN与VRRP（虚拟网关技术）的联合应用实例解析

拓扑要求：
（1）R1与R3/R4的VRRP虚拟IP-10.1.100.254建立 Ipsec VPN
（2）R3/R4虚拟的IP-10.1.200.254为R5的网关

解决方案：
利用HSRP在R3/R4虚拟网关
R1只设置一个对等体
解决路由黑洞的方法：HSRP可以监控上行链路
解决路由不对称方法：
1）R3/R4做R5的热备份网关
2）IPsec的路由反向注入，利用动态路由协议重发布静态注入

1、IP地址的具体规划：
R1的loopback 1的IPV4地址为1.1.1.1/32
R2的loopback 1的IPV4地址为2.2.2.2/32
R1-R2的S1/1接口IPV4地址为10.1.12.1/24
R2-R1的S1/0接口IPV4地址为10.1.12.2/24
R2-SW1的F0/0接口IPV4地址为10.1.100.1/24
R3-SW1的F0/0接口IPV4地址为10.1.100.2/24
R4-SW1的F0/0接口IPV4地址为10.1.100.3/24
R3-SW2的F0/1接口IPV4地址为10.1.200.1/24
R4-SW2的F0/1接口IPV4地址为10.1.200.2/24
R5-SW2的F0/1接口IPV4地址为10.1.200.3/24
R5的loopback 1的IPV4地址为5.5.5.5/32
注意：交换机1与交换机2不做任何配置即可

2、配置如下：
R1的配置：

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.12.2

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share 
R1(config-isakmp)#exit 
R1(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac 
R1(cfg-crypto-trans)#mode tunnel 
R1(cfg-crypto-trans)#exit 
R1(config)#crypto isakmp key cisco address 0.0.0.0
R1(config)#crypto isakmp keepalive 10 periodic 
R1(config)#access-list 100 permit ip host 1.1.1.1 host 5.5.5.5
R1(config)#crypto map ccie 10 ipsec-isakmp 
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#set transform-set ccie
R1(config-crypto-map)#set peer 10.1.100.254
R1(config-crypto-map)#exit 

R1(config)#int s1/1
R1(config-if)#crypto map ccie

R2的配置—(ISP)：

R2(config)#int loop 1
R2(config-if)#ip address 2.2.2.2 255.255.255.255
R2(config)#exit

R3的配置：

R3(config)#ip route 0.0.0.0 0.0.0.0 10.1.100.1
R3(config)#ip route 5.5.5.5 255.255.255.255 10.1.200.3

R3(config)#int f0/0
R3(config-if)#standby 1 ip 10.1.100.254
R3(config-if)#standby 1 preempt 
R3(config-if)#standby 1 priority 120
R3(config-if)#standby 1 track f0/1
R3(config-if)#standby 1 name ccie                                                          
R3(config-if)#exit 
R3(config)#int f0/1
R3(config-if)#standby 1 ip 10.1.200.254
R3(config-if)#standby 1 preempt 
R3(config-if)#standby 1 priority 120
R3(config-if)#standby 1 track f0/0

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share 
R3(config-isakmp)#exit 
R3(config)#crypto isakmp key cisco address 0.0.0.0
R3(config)#crypto isakmp keepalive 10 periodic 
R3(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac 
R3(cfg-crypto-trans)#mode tunnel 
R3(cfg-crypto-trans)#exit 
R3(config)#access-list 100 permit ip host 5.5.5.5 host 1.1.1.1
R3(config)#crypto map ccie 10 ipsec-isakmp 
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#set transform-set ccie
R3(config-crypto-map)#set peer 10.1.12.1
R3(config-crypto-map)#exit 

R3(config)#int f0/0
R3(config-if)#crypto map ccie redundancy ccie     

R4的配置与R3相同（R4的HSRP协议状态为standy）

R5的配置：

R5(config)#ip route 0.0.0.0 0.0.0.0 10.1.200.254

完成配置后，进行R1-R5的连通性检测：

R1#ping 5.5.5.5 source 1.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/20/32 ms

创作者：Eric· Charles