通过DDN互联VPN作备份配置实例5

2019-09-15 22:45:53 来源: 日照信息港

通过DDN互联VPN作备份配置实例5

定义需要加密码的流量:

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

access-list 100 deny

ip 192.168.10.0 0.0.0.255 any

定义不需要NAT转换的地址:

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

access-list 101 permit ip 192.168.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit

在整个VPN配置中遇到很多问题,主要原因是开始建立VPN之时,用户不同意使用两条独立的线路来建立VPN,想使用北京端现有的Internet线路通过NAT的方式来做VPN,那么这样做就势必受到很多影响,因为要从3640上NAT到现有的2801上面要经过三次NAT,这样做就涉及到安全以及转换的问题,由于客户时间、安全的问题,我没能拿以上三台设备的管理权限,一切只能由他们来做,终我也不能确定他们在PIX以及SV2000是否正确,终导致整个VPN的构建失败,由于DDN前期投入到正常使用,这样的测试没有太多时间来完成测试及实验,只能建议客户在北京端申请一条固定IP的ADSL,当两边都为独立的外部线路来建立VPN,比较顺利一次成功,但在测试中SHUTDOWN掉S0/2/0后VPN能马上起来接替DDN而NO SHUTDOWN后DDN线路能起来,但是当再次SHUTDOWN掉S0/2/0接口后,而VPN一直不能建立连接,DEBUG看到一直提示:*Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 61.144.56.100 dst 61.144.56.101 for SPI 0x3A7B69BF,基本确定问题出现在ISAKMP,只能从此着手,经过查看CISCO官方网站得出结论大概是ISAKMP有一个存活时间,在此次存活时间内,有一端ISAKMP未失效而另一端又采用新的ISAKMP建立连接,出现匹配造成VPN建立不成功,通过在两端加上ISAKMP的KEEPALIVE存活时间设置,终问题得到解决,从而实现了正常的切换。

小儿积食发烧怎么办
小儿便秘的几个原因
小儿反复发烧
小儿发热怎么办
本文标签: