Networking
VPN 故障轉移的多組對等體
我將在位置 A 有兩台 Cisco 路由器服務於相同的內部網路,在位置 B 有一台路由器。
目前,我在每個位置都有一台路由器,並通過 IPSec 站點到站點隧道連接它們。它看起來像:
地點 A:
crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B set peer 12.12.12.12 set transform-set ESP-3DES-SHA match address internal-ips位置 B:
crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location A set peer 11.11.11.11 set transform-set ESP-3DES-SHA match address internal-ips我可以通過簡單地在位置 B 添加另一個對等點來實現故障轉移嗎?:
位置 A(新的輔助路由器,前一個路由器上的配置保持不變):
crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B set peer 12.12.12.12 set transform-set ESP-3DES-SHA match address internal-ips位置 B(配置已更改):
crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location A set peer 11.11.11.11 ! 11.11.11.100 is the ip of the new second router at location A set peer 11.11.11.100 set transform-set ESP-3DES-SHA match address internal-ips思科說:
對於使用crypto map map-name seq-num ipsec-isakmp 命令創建的crypto map 條目,您可以通過重複該命令來指定多個peer。數據包實際發送到的對等點由路由器從給定數據流聽到(接收流量或協商請求)的最後一個對等點確定。如果第一個對等方的嘗試失敗,則 Internet 密鑰交換 (IKE) 嘗試加密映射列表中的下一個對等方。
但我不完全理解在故障轉移場景的背景下(其中一個路由器作為位置 A 爆炸)。
是的,這是正確的做法。如果您更喜歡預設使用兩個路由器之一,您也可以設置
default關鍵字 afterset peer ...