多宿主 Cisco VPN 服务器

多宿主 Cisco VPN 服务器

我正在尝试为 Cisco 1841 配置两个外部 IP,以在任一外部接口上接受 VPN 连接,并通过发生 VPN 连接的接口维持数据流。

我的 Cisco 有两个外部链接:一个速度慢但无限制且便宜,另一个速度快但有每月数据限额。我的想法是,我想用一个或另一个外部 VPN 主机地址配置 VPN 客户端,以便选择使用哪个链接。

我有以下配置:

crypto isakmp client configuration group vpnclients
 key secretkey
 dns 172.16.64.1
 domain domain.com
 pool vpnpool

crypto isakmp profile VPNclient
   description VPN clients profile
   match identity group vpnclients
   client authentication list clientauth
   isakmp authorization list groupauthor
   client configuration address respond

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto dynamic-map dynmap 5
 set transform-set myset
 set isakmp-profile VPNclient
 reverse-route

crypto map mymap 10 ipsec-isakmp dynamic dynmap

interface FastEthernet0/0
 ip address 123.33.90.97 255.255.255.248
 crypto map mymap

interface FastEthernet0/1
 ip address 193.41.235.251 255.255.255.248
 crypto map mymap

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

我认为我遇到的问题在于默认 IP 路由,它强制所有返回流量通过 Fa0/0 。 如果 VPN 连接发生在 193.41.235.251 上,我无法弄清楚如何强制 VPN 流量通过 Fa0/1 出去。

解决这个问题的最佳方法是什么?策略路由?

答案1

由于您使用 cryptomaps 来加密特定流量,外部 vrf 选项可能不起作用。

另一个选择是使用您建议的策略路由,但由于您尝试对框生成的数据包进行策略路由,因此您需要使用语法ip local policy

这是一个示例,它可能有效,但我不知道 IOS 版本或功能集,也不了解路由器上其余的配置。

ip access-list extended F01-VPN-SOURCE-ACL
 permit ip host 193.41.235.251 any

route-map F01-VPN-MAP 10
 match ip address F01-VPN-SOURCE-ACL
 set interface fa0/1
 set ip next-hop 193.41.235.###

ip local policy route-map F01-VPN-MAP

相关内容