雙電信ADSL實現鏈路冗余和IPSec VPN

故障描述

客戶原來使用1條電信ADSL上網,由于帶寬不夠,另外增加一條電信的ADSL??蛻羰褂靡粭lADSL鏈路時, 上網、IPSecVPN都正常。但是同時使用兩條線路時,IPSecVPN隧道建立不起來,用戶上網相當的慢,丟包現象嚴重。

http://support.huawei.com/enterprise/product/images/679726ae8fb44fbb952c469a5cf25d30

故障分析

處理過程

1使用一條ADSL鏈路,測試上網、IPSec均正常,表明每一條鏈路的網絡基礎配置正確,IPSec配置正確。
2、查看默認路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.0 0.0.0.0 Dialer2
考慮到由于屬于同一運營商,兩條等價默認路由會造成數據來回路徑不一致的問題,修改為
ip route-static 0.0.0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.0 0.0.0.0 Dialer2  preference  65
連接兩條ADSL鏈路,網絡穩定情況好轉。

  1. 查看NAT策略,修改為雙鏈路互備。

原NAT策略:
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒絕IPSec流量
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192.168.1.0 0.0.0.255
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255  //拒絕IPSec流量
 rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192.168.2.0 0.0.0.255
 
firewall interzone trust untrust
 nat outbound 3001 interface Dialer1
 
firewall interzone trust untrust10
 nat outbound 3002 interface Dialer2
 
    該NAT策略使192.168.1.0網段通過Dialer1做地址轉換上網,使192.168.2.0網段通過Dialer2做地址轉換上網。但是如果一根線斷了,就會有一個網段的用戶上不了網。為了實現鏈路冗余互為備份,修改用于NAT的ACL為:
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉換
rule 3 permit ip  source 192.168.1.0 0.0.0.255
rule 4  permit ip  source 192.168.2.0 0.0.0.255            //允許兩個網段通過,實現鏈路冗余
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉換
rule 3 permit  ip  source 192.168.1.0 0.0.0.255   
rule 4 permit  ip  source 192.168.2.0 0.0.0.255         //允許兩個網段通過,實現鏈路冗余
 
4、查看策略路由和配置,修改策略路由,并強制IPSec流量僅走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0    
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Dialer2
該策略路由強行1網段走Dilar 2,但不排除2網段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
 acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
 apply output-interface Dialer1
 
5、修改security ACL 3000,并使兩端成鏡像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
 
6、測試兩網段用戶上網,正常;測試兩網段用戶訪問VPN,正常。

建議/總結
  1. 如果雙鏈路為同一ISP,只有兩條默認路由時,必須將默認路由配置為不同優先級;
  2. 該方案實現了在2條鏈路正常時,通過策略路由實現分流;當1條鏈路斷開后,能確保所有網段通過NAT上網。這里需要注意配置做NAT的ACL需要將所有網段都包含進去,最簡單的規則是先拒絕IPSec流量,然后rule permit ip。
  3. 為了確保IPSec正常,本例比較保守的只允許通過Dialer2口與中心建立隧道。如果修改中心和分支的security acl,并將IPSec策略應用于兩個dialer口,還可以實現分支IPSec鏈路冗余。當兩條鏈路正常時,通過策略路由,所有感興趣流量通過 Dialer2口,由Dialer2口與中心建立隧道,當Dialer2口所有鏈路down時,根據默認路由會選擇Dialer1口建立隧道。修改方法如 下:

interface Dialer1
ipsec policy map1
 
interface Dialer2
ipsec policy map1

中国6一12呦女精品