双电信ADSL实现链路冗余和IPSec VPN

小乔 · 发表于 2016-3-29 10:01:52

问题描述
客户原来使用1条电信ADSL上网，由于带宽不够，另外增加一条电信的ADSL。客户使用一条ADSL链路时，上网、IPSecVPN都正常。但是同时使用两条线路时，IPSecVPN隧道建立不起来，用户上网相当的慢，丢包现象严重。

告警信息
无

处理过程
1使用一条ADSL链路，测试上网、IPSec均正常，表明每一条链路的网络基础配置正确，IPSec配置正确。
2、查看默认路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0.0.0.0 Dialer2
考虑到由于属于同一运营商，两条等价默认路由会造成数据来回路径不一致的问题，修改为
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0.0.0.0 Dialer2 preference 65
连接两条ADSL链路，网络稳定情况好转。

查看NAT策略，修改为双链路互备。

原NAT策略：
acl number 3001
description nat_dia1
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒绝IPSec流量
rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 3 permit ip source 192.168.1.0 0.0.0.255

acl number 3002
description nat_dia2
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒绝IPSec流量
rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 3 permit ip source 192.168.2.0 0.0.0.255

firewall interzone trust untrust
nat outbound 3001 interface Dialer1

firewall interzone trust untrust10
nat outbound 3002 interface Dialer2

该NAT策略使192.168.1.0网段通过Dialer1做地址转换上网，使192.168.2.0网段通过Dialer2做地址转换上网。但是如果一根线断了，就会有一个网段的用户上不了网。为了实现链路冗余互为备份，修改用于NAT的ACL为：
acl number 3001
description nat_dia1
rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //对ipsec流量不做地址转换
rule 3 permit ip  source 192.168.1.0 0.0.0.255
rule 4  permit ip  source 192.168.2.0 0.0.0.255          //允许两个网段通过，实现链路冗余

acl number 3002
description nat_dia2
rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //对ipsec流量不做地址转换
rule 3 permit  ip  source 192.168.1.0 0.0.0.255
rule 4 permit  ip  source 192.168.2.0 0.0.0.255       //允许两个网段通过，实现链路冗余

4、查看策略路由和配置，修改策略路由，并强制IPSec流量仅走Dialer2。
原配置：
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123

acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255

route-policy 123 permit node 5
if-match acl 3003
apply output-interface Dialer2
该策略路由强行1网段走Dilar 2,但不排除2网段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123

acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255

route-policy 123 permit node 5
if-match acl 3003
apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
apply output-interface Dialer1

5、修改security ACL 3000，并使两端成镜像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255

6、测试两网段用户上网，正常；测试两网段用户访问VPN，正常。

游客，如果您要查看本帖隐藏内容请回复

wayw543 · 发表于 2016-3-29 10:54:17

Thanks

3011209 · 发表于 2016-3-29 11:12:53

看看

sy7527951 · 发表于 2016-3-30 00:26:58

感谢楼主分享

charliew · 发表于 2016-3-30 00:50:12

thanks for sharing !

Bensonヾ · 发表于 2016-4-1 15:29:43

啊啊啊啊啊啊啊啊啊啊啊啊啊

tianyong · 发表于 2016-4-1 16:09:20

学习了哈！

指尖的美 · 发表于 2016-4-5 22:38:22

谢谢分享

huangqiangaini · 发表于 2016-4-6 15:43:19

很好呵呵呵呵

huangqiangaini · 发表于 2016-4-6 15:43:25

很好呵呵呵呵

huangqiangaini · 发表于 2016-4-6 15:43:45

呵呵很好

独依行 · 发表于 2016-4-8 07:26:07

谢谢分享，好好学习

hanka · 发表于 2016-4-8 15:55:12

看看

abcc · 发表于 2016-4-9 11:26:02

abcc · 发表于 2016-4-9 11:26:13

账号		自动登录	找回密码
密码			论坛注册

[分享] 双电信ADSL实现链路冗余和IPSec VPN

相关帖子

客服中心

投诉建议