我正在尝试为 Cisco 1841 配置两个外部 IP,以在任一外部接口上接受 VPN 连接,并通过发生 VPN 连接的接口维持数据流。
我的 Cisco 有两个外部链接:一个速度慢但无限制且便宜,另一个速度快但有每月数据限额。我的想法是,我想用一个或另一个外部 VPN 主机地址配置 VPN 客户端,以便选择使用哪个链接。
我有以下配置:
crypto isakmp client configuration group vpnclients
key secretkey
dns 172.16.64.1
domain domain.com
pool vpnpool
crypto isakmp profile VPNclient
description VPN clients profile
match identity group vpnclients
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
reverse-route
crypto map mymap 10 ipsec-isakmp dynamic dynmap
interface FastEthernet0/0
ip address 123.33.90.97 255.255.255.248
crypto map mymap
interface FastEthernet0/1
ip address 193.41.235.251 255.255.255.248
crypto map mymap
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
我认为我遇到的问题在于默认 IP 路由,它强制所有返回流量通过 Fa0/0 。 如果 VPN 连接发生在 193.41.235.251 上,我无法弄清楚如何强制 VPN 流量通过 Fa0/1 出去。
解决这个问题的最佳方法是什么?策略路由?
答案1
由于您使用 cryptomaps 来加密特定流量,外部 vrf 选项可能不起作用。
另一个选择是使用您建议的策略路由,但由于您尝试对框生成的数据包进行策略路由,因此您需要使用语法ip local policy。
这是一个示例,它可能有效,但我不知道 IOS 版本或功能集,也不了解路由器上其余的配置。
ip access-list extended F01-VPN-SOURCE-ACL
permit ip host 193.41.235.251 any
route-map F01-VPN-MAP 10
match ip address F01-VPN-SOURCE-ACL
set interface fa0/1
set ip next-hop 193.41.235.###
ip local policy route-map F01-VPN-MAP