MSR系列路由器总部双出口固定IP分支动态地址IPSec备份.doc

MSR系列路由器 总部双出口固定IP、分支动态地址IPSec备份 一、组网： 二、客户需求 总部使用联通、电信双出口，分支单出口。要求总部和分支之间通过IPSec建立VPN，并进行相互备份。部分分支与总部联通线路相连，电信链路作为备份；另一部分与总部电信线路相连，联通线路作为备份。 假设RTC是优选电信线路，RTD是优选联通线路。 三、设计方案 地址，路由设计： 1.???????假设分支和总部合起来不超过126个，那么所有Loopback可以使用一个192.168.254.0的C类网段，如果超过，就使用192.168.254.0和192.168.253.0两个C网段。 2.???????所有Loopback0对应联通线路，从192.168.254.1至192.168.254.126，如总部可以使用192.168.254.1，其余分支从2至126。 3.???????所有Loopback1对应电信线路，从192.168.254.129至192.168.253.254，如总部可以使用192.168.254.129，其余分支从130至254。 4.???????总部和各分支的Loopback0作为源、目的建立一条GRE隧道，tunnel编号从2至126，对应分支loopback0地址末端，便于记忆，该隧道只从联通线路建立。 5.???????总部和各分支的Loopback1作为源、目的建立一条GRE隧道，tunnel编号从130至254，对应分支loopback1地址末端，便于记忆，该隧道只从电信线路建立。 6.???????在GRE隧道上配置Keeplive，用于监测tunnel接口状态，使用Keeplive后就不需要使用NQA探测了。 7.???????总部配置各Loopback0路由ip routing-table 192.168.254.0 25?联通出口。 8.???????总部配置各Loopback1路由ip routing-table 192.168.254.128.0 25?电信出口。 9.???????各分支建立两条GRE隧道，源分别是Loopback0、Loopback1，目的分别是总部的Loopback0和Loopback1，编号分别是tunnel 2~126和tunnel 130~254，tunnel接口编号和所使用源Loopback地址最后一段一致，便于记忆。 10.???分支由于是只有一条拨号线路，使用默认路由即可。 11.???总部将部分分支（优选联通线路）的VPN网段路由指向以Loopback0为源的GRE隧道，优先级默认60，指向以Loopback1为源的GRE隧道，优先级为80，作为备份。 12.???总部将部分分支（优选电信线路）的VPN网段路由指向以Loopback1为源的GRE隧道，优先级默认60，指向以Loopback0为源的GRE隧道，优先级为80，作为备份 13.???????部分分支（优选联通线路）将总部VPN网段路由指向以Loopback0为源的GRE隧道，优先级默认60，指向以Loopback1为源的GRE隧道，优先级为80，作为备份。 14.???????部分分支（优选电信线路）将总部VPN网段路由指向以Loopback1为源的GRE隧道，优先级默认60，指向以Loopback0为源的GRE隧道，优先级为80，作为备份。 IPSec设计： 1.???????由于分支端地址由拨号动态获取或存在NAT设备，所以使用野蛮模式IKE。 2.???????总部配置1个ike peer branch即可，配置pre-shared-key、exchang-mode aggressive、nat traversal即可。 3.???????分支需要配置2个ike peer，ike peer unicom和ike peer telecom，除配置pre-shared-key、exchang-mode aggressive、nat traversal外，还需要配置remote-address。 4.???????ike proposal不需要配置，使用默认，配置ipsec proposal def即可。 5.???????分支配置两个ACL，acl number 3000 rule permit gre source?分支Loopback0 0 destination??总部Loopback0，acl number 3001 rule permit gre source?分支Loopback1 0 destination?总部Loopback1 6.???????总部配置IPSec policy-template temp 1，指定ike-peer branch，proposal def即可，使