我将在位置 A 安装两台 Cisco 路由器来服务相同的内部网络,并在位置 B 安装一台路由器。
目前,我在每个位置都配备了一台路由器,并通过 IPSec 站点到站点隧道将它们连接起来。它看起来像:
地点 A:
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location B
set peer 12.12.12.12
set transform-set ESP-3DES-SHA
match address internal-ips
地点 B:
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location A
set peer 11.11.11.11
set transform-set ESP-3DES-SHA
match address internal-ips
我是否可以通过在位置 B 添加另一个对等点来实现故障转移?:
位置 A(新的辅助路由器,之前路由器上的配置保持不变):
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location B
set peer 12.12.12.12
set transform-set ESP-3DES-SHA
match address internal-ips
位置 B(配置已更改):
crypto map crypto-map-1 1 ipsec-isakmp
description Tunnel to Location A
set peer 11.11.11.11
! 11.11.11.100 is the ip of the new second router at location A
set peer 11.11.11.100
set transform-set ESP-3DES-SHA
match address internal-ips
思科表示:
对于使用 crypto map map-name seq-num ipsec-isakmp 命令创建的加密映射条目,您可以通过重复此命令来指定多个对等体。数据包实际发送到的对等体由路由器从给定数据流听到的最后一个对等体(从其接收流量或协商请求)决定。如果第一个对等体的尝试失败,则 Internet 密钥交换 (IKE) 将尝试加密映射列表中的下一个对等体。
但我不完全理解故障转移场景(位置 A 的其中一个路由器爆炸)的情况。
答案1
是的,这是正确的做法。如果您希望默认使用两个路由器之一,也可以default在后面设置关键字set peer ...