返回
华为防火墙双ADSL实现链路冗余及IPSecVPN配置

华为防火墙双ADSL实现链路冗余及IPSecVPN配置

ID:41467186

大小:101.68 KB

页数:3页

时间:2019-08-25

华为防火墙双ADSL实现链路冗余及IPSecVPN配置_第1页
华为防火墙双ADSL实现链路冗余及IPSecVPN配置_第2页
华为防火墙双ADSL实现链路冗余及IPSecVPN配置_第3页
资源描述:

《华为防火墙双ADSL实现链路冗余及IPSecVPN配置》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、双电信ADSL链路冗余和IPSec的实现现象:客户原来使用1条电信ADSL上网,由于带宽不够,另外增加一条电信的ADSLo客户使用1条ADSL链路时,上网、IPSecVPN都正常。但是同时使用两条线路时,IPSecVPN隧道建立不起來,用户上网相当的慢,丢包现象严重。原因分析:仁策略路由设置问题;2、路由设置错误3、NAT策略配置问题处理过程:1使用-•条ADSL链路,测试上网、IPSec均正常,表明每一条链路的网络基础配置正确,IPSec配置正确。2、查看默认路由配置。iproute-static0.0.0.00.0.0.0Dialerliproute-static

2、0.0.0.00.0.0.0Dialer2考虑到由于属于同一运营商,网条等价默认路由会造成数据來回路径不一致的问题,修改为iproute-static0.0.0.00.0.0.0Dialerliproute-static0.0.0.00.0.0.0Dialer2preference65连接两条ADSL链路,网络稳定情况好转。3、查看NAT策略,修改为双链路互备。原NAT策略:aclnumber3001descriptionnat_dia1rule0denyipsource192.168.1.00.0.0.255destination192.168.0.00.0.0.2

3、55〃拒绝IPSec流吊rule2denyipsource192.168.2.00.0.0.255destination192.168.0.00.0.0.255rule3permitipsource192.168.1.00.0.0.255aclnumber3002descriptionnat_dia2rule0denyipsource192.168.1.00.0.0.255destination192.168.0.00.0.0.255〃拒绝IPSec流量rule2denyipsource192.168.2.00.0.0.255destination192.168.0.

4、00.0.0.255rule3permitipsource192.168.2.00.0.0.255firewallinterzonetrustuntrustnatoutbound3001interfaceDialerlfirewallinterzonetrustuntrustIOnatoutbound3002interfaceDialer2该NAT策略使192168.1.0网段通过Dialerl做地址转换上网,使192.168.2.0网段通过Dialed做地址转换上网。但是如果一根线断了,就会有一个网段的用户上不了网。为了实现链路冗余互为备份,修改用于NAT的ACL为

5、:aclnumber3001descriptionnat_dia1rule0denyipsource192.168.0.00.0.3.255destination192.168.0.00.0.0.255Mipsec流量不做地址转换rule3permitipsource192.168.1.00.0.0.255rule4permitipsource192.168.2.00.0.0.255//允许两个网段通过,实现链路冗余aclnumber3002descriptionnat_dia2rule0denyipsource192.168.0.00.0.3.255destinat

6、ion192.168.0.00.0.0.255〃对ipsec流量不做地址转换rule3permitipsource192.168.1.00.0.0.255rule4permitipsource192.168.2.00.0.0.255〃允许两个网段通过,实现链路冗余4、查看策略路由和配置,修改策略路由,并强制IPSec流量仅走Dialer2o原配置:interfaceVlaniflipaddress10.10.1.1255.255.255.0undoipfast-forwardingqffippolicyroute-policy123aclnumber3003rule3

7、permitipsource192.168.1.00.0.0.255route-policy123permitnode5if-matchacl3(X)3applyoutput-interfaceDialcr2该策略路由强行1网段走Dilar2,但不排除2网段也走Dilar2的可能性。所以修改策略路由使分流更清晰明了。修改后的策略路由interfaceVlaniflipaddress10.10.1.1255.255.255.0undoipfast-forwardingqffippolicyroute-policy123aclnumber3003rule

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。