思科路由双ISP接入.doc

思科路由器配置双 ISP 线路接入 2010-03-01 16:05:12 来源: 网络【大中小】文章摘要: 通过双 ISP (如:一条电信、一条网通)链路可实现网络路径优化、负载均衡及备份冗余, 以前本人一直认为 Cisco 不能实现单路由器双 ISP 链路的冗余备份, 后经过多次测试,发现通过 SLA (服- 最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有 ERP 服务器与邮件服务器, 总部出口为铁通 10M 光纤与网通 1M DDN 专线( 新增), screen 防火墙与香港的 pix 515 作 IPsec VPN 对接,现客户要求是新增一条网通 DDN 专线用来专跑 ERP 数据业务,就是要求平时总部去分部访问 ERP 服务器的数据走 DDN 专线,访问邮件服务器的数据走 ipsecVPN, 但当这两条链路其中有出现故障中断时,能做到链路自动切换, 例 DDN 专线出现故障, 原走这条线路的 ERP 数据能自动切换到 ipsec VPN 线路去, 如果线路恢复线路又自动切换。 screen 作了研究它是支持策略路由,但好像不支持线路检测(如知道者请提供资料,学****一下)。为满足客户要求,我推荐用思科 1841 路由器,思科支持策略路由与线路检测,一直有看过相应的文档,但没实施过,呵呵,终于有机会了。解方案如下图: IP 分配如下: 总部 IP 段为: 网关: ssg-140 和透明接入, R1 配置: 0/0 -- 0/1 -- ( 铁通线路 IP 有改^_^ ) Serial0/0 --- ( 网通线路) PIX 515 配置: 1 (outside) -- 0 (inside) -- R2 配置: 0/0 -- 0/1-- Serial0/0 -- 下面只列出重点部分: VPN 配置 R1----PIX515 R1: 第一步:在路由器上定义 NAT 的内部接口和外部接口 R1(config)#int f0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int f0/1 R1(config-if)#ip nat outside R1(config-if)#exit 第二步:定义需要被 NAT 的数据流(即除去通过 VPN 传输的数据流) R1(config)#access-list 101 deny ip R1(config)#access-list 101 deny ip R1(config)#access-list 101 permit ip any any 第三步:定义 NAT 。 R1(config)#ip nat inside source list 101