Fightel Net, thương hiệu toàn diện của thiết bị mạng điện Furukawa
cài đặt ví dụ
3. Cân bằng tải ipsec được thực hiện bằng cách sử dụng trung tâm F1000 (mỗi dòng) và cơ sở F100 (mỗi dòng)
Tóm tắt
*Nó có thể được sử dụng để thay thế hai đơn vị F100 ở phía trung tâm bằng F100
- Cân bằng tải được thực hiện ở tỷ lệ tập hợp trên F100 ở phía cơ sở (hai VPN hoạt động hoạt động)
* Tỷ lệ có thể được đặt thành bất kỳ giá trị số nguyên nào (0 đến 10).
(0 và 10 có thể được đặt thành F100 dưới dạng V01.10 trở lên, F1000 dưới dạng phần mềm V01.03 trở lên)
Nếu 10: 0, dữ liệu người dùng sẽ không chảy đến bên 0 trong các trường hợp bình thường và sẽ được hoạt động. (Các gói ICMP của Keepalive sẽ chảy) - Nếu một VPN bị vô hiệu hóa, tất cả các giao tiếp sẽ được xử lý với VPN còn lại.
Ngoài ra, sau khi VPN được khôi phục, cân bằng tải sẽ được thực hiện lại ở tỷ lệ tập hợp. - F100 ở phía cơ sở tự thực hiện dự phòng dòng và sử dụng hai phiên PPPOE (địa chỉ IP không xác định).
- Phía trung tâm F1000 thực hiện dự phòng thiết bị và dự phòng dòng và mỗi lần sử dụng một phiên của PPPOE (địa chỉ IP cố định).
- Bên trung tâm F1000 thực hiện dự phòng thiết bị và dự phòng dòng, mỗi phiên sử dụng một phiên của PPPOE (địa chỉ IP cố định).
- F100 trên các bên cơ sở theo dõi các tỷ lệ kèo nhà cái đường cho cả hai tỷ lệ kèo nhà cái VPN1 và VPN2.
Bên trung tâm F1000 theo dõi mỗi tỷ lệ kèo nhà cái đường. (ICMP (ping) Keepalive được sử dụng để giám sát tỷ lệ kèo nhà cái đường) - Bên cơ sở F100 tự động chuyển đổi giữa các tỷ lệ kèo nhà cái VPN1 và VPN2 và phía cơ sở F100 tự động chuyển trở lại sau khi tỷ lệ kèo nhà cái đường được khôi phục.
* Keepalive sẽ xóa SA trong trường hợp lỗi tỷ lệ kèo nhà cái đường. Kết hợp với chức năng tỷ lệ kèo nhà cái SA-Up, nó tự động viết lại bảng định tỷ lệ kèo nhà cái của riêng mình. - IPSEC ở chế độ tích cực, nhưng vì SA luôn được thiết lập từ cơ sở, nó cũng có thể được sử dụng để giao tiếp với phía trung tâm.
- Hai F1000 ở phía trung tâm sẽ quảng cáo thông tin tỷ lệ kèo nhà cái đường (SA-UP Route Function và RIP) có thể truy cập được với việc thiết lập SAS trên mạng LAN. L3SW xác định điều khiển tỷ lệ kèo nhà cái trên trung tâm dựa trên giá trị số liệu.
- Hàm tỷ lệ kèo nhà cái đường hầm được đặt ở phía trung tâm chỉ có thể được sử dụng ở phía trả lời trong chế độ IPSEC-hoạt động. Đây là một chức năng đăng ký NEXTTOP với tỷ lệ kèo nhà cái đường đến ngang hàng của thiết bị đối diện bằng Ike Nego.
- Trung bình, phải mất khoảng 30 giây để chuyển đổi trong trường hợp lỗi dòng. .tỷ lệ bóng đá hômXem lệnh)
Bổ sung và ghi chú
Điều kiện tiên quyết
Ví dụ về cài đặt này được giải thích dựa trên địa chỉ và môi trường sau:
Địa chỉ được phân bổ bởi nhà cung cấp (địa chỉ là một ví dụ)
| Phía trung tâm F1000-1 PPPOE1 | 200.200.200.200 |
| Bên trung tâm F1000-2 PPPOE1 | 100.100.100.100 |
| F100 PPPOE1 | Không có thông số kỹ thuật |
| F100 PPPOE5 | Không có thông số kỹ thuật |
Cài đặt môi trường
| Các gói chuyển tiếp được nhắm mục tiêu bởi IPSEC | bất kỳ ⇔ 172.16.0.0/16 *VPN cũng có thể được tạo từ một phân đoạn khác phía sau phía trung tâm L3SW |
| Chính sách IPSEC pha1 | Chế độ ... Chế độ hung hăng Phương thức xác thực ... Phương pháp khóa chia sẻ trước Phương pháp mã hóa ... AES 128 Diffie-Hellman ... Nhóm 2 Phương pháp băm ... SHA |
| Chính sách IPSEC Phase2 | Phương pháp mã hóa ... AES 128 Phương pháp băm ... SHA |
| Tỷ lệ cân bằng tải ipsec (PPPOE1: PPPOE5) |
2: 1 *1 (F100 ở phía cơ sở) |
| L3SW Cài đặt | Nhận RIP (Ver.2) *Sử dụng Ver.2 cho RIP cho F100 và F1000 (Giá trị ban đầu) |
Ví dụ về cấu hình lệnh
(dòng trong! Là một bình luận. Không cần phải thực sự nhập nó.)
Nếu bạn muốn sử dụng cài đặt này, vui lòng sử dụng
Cài đặt Fitelnet-F100 ở phía cơ sở
!enableNhập mật khẩu:Super← Nhập mật khẩu của bạn. (Nó không thực sự được hiển thị)Định cấu hình thiết bị đầu cuốiBộ định tỷ lệ kèo nhà cái (config)#Giao diện LAN 1bộ định tỷ lệ kèo nhà cái (config-if lan 1)#Địa chỉ IP 172.16.0.1 255.255.0.0bộ định tỷ lệ kèo nhà cái (config-if lan 1)#Thoát!Giao diện PPPOE 1bộ định tỷ lệ kèo nhà cái (config-if pppoe 1)#PPPOE Server A-ProviderBộ định tỷ lệ kèo nhà cái (config-if pppoe 1)#Tài khoản pppoe a-user@xxxx.ne.jp a-secretBộ định tỷ lệ kèo nhà cái (config-if pppoe 1)#Máy chủ loại PPPOEbộ định tỷ lệ kèo nhà cái (config-if pppoe 1)#Bản đồ Crypto Map1Bộ định tỷ lệ kèo nhà cái (config-if pppoe 1)#Thoát!giao diện PPPOE 5Bộ định tỷ lệ kèo nhà cái (config-if pppoe 5)#PPPOE Server B-Providerbộ định tỷ lệ kèo nhà cái (config-if pppoe 5)#Tài khoản PPPOE B-user@xxxx.ne.jp B-SecretBộ định tỷ lệ kèo nhà cái (config-if pppoe 5)#Máy chủ loại pppoeBộ định tỷ lệ kèo nhà cái (config-if pppoe 5)#Bản đồ tiền điện tử MAP2Bộ định tỷ lệ kèo nhà cái (config-if pppoe 5)#Thoát!IP Route 200.200.200.200 255.255.255.255 PPPOE 1Bộ định tỷ lệ kèo nhà cái (config)#IP Route 100.100.100.100 255.255.255.255.255 PPPOE 5!Dịch vụ DHCP-Serverbộ định tỷ lệ kèo nhà cái (config)#IP DHCP Pool LAN1 *6Bộ định tỷ lệ kèo nhà cái (config-dhcp-pool)#Bộ định tỷ lệ kèo nhà cái mặc định 172.16.0.1Bộ định tỷ lệ kèo nhà cái (config-dhcp-pool)#Thoát!VPN Bậtbộ định tỷ lệ kèo nhà cái (config)#VPNLOG Bật!Chính sách Crypto ISAKMP 1Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Prekey xác thựcBộ định tỷ lệ kèo nhà cái (config-isakmp)#Mã hóa AES 128bộ định tỷ lệ kèo nhà cái (config-isakmp)#Nhóm 2bộ định tỷ lệ kèo nhà cái (config-isakmp)#Hash Shabộ định tỷ lệ kèo nhà cái (config-isakmp)#Key Ascii Furukawabộ định tỷ lệ kèo nhà cái (config-isakmp)#Chế độ đàm phán hung hăngBộ định tỷ lệ kèo nhà cái (config-isakmp)#My-Identity Kyoten1-1Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Địa chỉ danh tính ngang hàng 200.200.200.200Bộ định tỷ lệ kèo nhà cái (config-isakmp)#ICMP giữLuôn luôn luôn!Keepalive không đổi bằng ICMP (ping)Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Keepalive-Icmpaddress192.168.3.1!Đặt địa chỉ được giám sátBộ định tỷ lệ kèo nhà cái (config-isakmp)#Keepalive-IcmpNguồn giao diệnLAN 1!Thông qua địa chỉ IP nguồn làm địa chỉ IP bên LAN, thông qua đường hầm VPN!Do KeepaliveBộ định tỷ lệ kèo nhà cái (config-isakmp)#Keepalive-IcmpMulti-PathGiao diện PPPOE 1 *1!Định cấu hình giao diện gửi cho KeepaliveBộ định tỷ lệ kèo nhà cái (config-isakmp)#Thoát!Chính sách Crypto ISAKMP 2Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Prekey xác thựcBộ định tỷ lệ kèo nhà cái (config-isakmp)#Mã hóa AES 128Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Nhóm 2Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Hash ShaBộ định tỷ lệ kèo nhà cái (config-isakmp)#Key Ascii Furukawabộ định tỷ lệ kèo nhà cái (config-isakmp)#Chế độ đàm phán hung hăngBộ định tỷ lệ kèo nhà cái (config-isakmp)#My-Identity Kyoten1-2bộ định tỷ lệ kèo nhà cái (config-isakmp)#Địa chỉ ngang hàng 100.100.100.100bộ định tỷ lệ kèo nhà cái (config-isakmp)#Keepalive-Icmpaddress ngang hàng192.168.3.20Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Keepalive-IcmpNguồn giao diệnLAN 1Bộ định tỷ lệ kèo nhà cái (config-isakmp)#Keepalive-IcmpMulti-PathGiao diện PPPOE 5 *1Bộ định tỷ lệ kèo nhà cái (config-isakmp)#ICMP giữLuôn luôn luônbộ định tỷ lệ kèo nhà cái (config-isakmp)#Thoát!IPSEC Transform-Set P2-Policy ESP-AES-128 ESP-SHA-HMAC!IPSEC Access-List 10 IPSEC IP 172.16.0.0 0.0.255.255Any!Có thể địa chỉ mạng tùy chọn của LAN bên trung tâm!→ bất kể mạng bên trong L3SWBộ định tỷ lệ kèo nhà cái (config)#IPSEC Access-List 64 Bypass IP bất kỳ!Bản đồ tiền điện tử MAP1 1Bộ định tỷ lệ kèo nhà cái (Config-Crypto-Map)#Địa chỉ khớp 10Số dư đa đường 2 *2!cân bằng tải với tỷ lệ 2Bộ định tỷ lệ kèo nhà cái (Config-Crypto-Map)#Đặt địa chỉ ngang hàng 200.200.200.200Bộ định tỷ lệ kèo nhà cái (config-crypto-map)#Đặt-set-set p2-chính sáchBộ định tỷ lệ kèo nhà cái (config-crypto-map)#Đặt liên kết bảo mậtluôn luôn!Ở lại SA mọi lúcBộ định tỷ lệ kèo nhà cái (config-crypto-map)#SA-UP ROUTEgiao diện PPPOE 1 *3!19365_19402!Hãy để Nextthop là PPPOE1Bộ định tỷ lệ kèo nhà cái (config-crypto-map)#Thoát!Bản đồ tiền điện tử MAP2 2Bộ định tỷ lệ kèo nhà cái (config-crypto-map)#Địa chỉ khớp 10Số dư đa đường 1 *2!cân bằng tải theo tỷ lệ 1Bộ định tỷ lệ kèo nhà cái (Config-Crypto-Map)#Đặt địa chỉ ngang hàng 100.100.100.100Bộ định tỷ lệ kèo nhà cái (Config-Crypto-Map)#Đặt p2-policy biến đổiBộ định tỷ lệ kèo nhà cái (config-crypto-map)#Đặt liên kết bảo mậtluôn luônBộ định tỷ lệ kèo nhà cái (Config-Crypto-Map)#SA-UP ROUTEGiao diện PPPOE 5 *3Bộ định tỷ lệ kèo nhà cái (Config-Crypto-Map)#Thoát!kết thúc!Lưu Side-A.CFG% tiết kiệm công việc-configĐặt lạiBạn có ổn không khi bắt đầu lạnh? (Y/N)y
| *1: | Nếu bạn đã đặt địa chỉ thủ công với Ewan 1 hoặc Ewan 2 thay vì PPPOE 1 hoặc PPPOE 5, hãy đặt nó như sau:
|
| *2: | Bây giờ bạn có thể đặt tỷ lệ thành 0 từ phần sụn từ V01.10 trên F100 và V01.03 trên F1000. Tỷ lệ cân bằng tải chỉ hoạt động cho các gói theo hướng truyền. |
| *3: | Nếu bạn đã đặt địa chỉ thủ công với Ewan 1 hoặc Ewan 2 thay vì PPPOE 1 hoặc PPPOE 5, hãy đặt nó như sau:
|
| *6: | Fitelnet Định dạng lệnh đã được thay đổi cho F200/F2000 và lệnh như sau. Bộ định tỷ lệ kèo nhà cái (config)#IP DHCP Pool LAN 1 |
Ví dụ về cấu hình lệnh
(dòng trong! Là một nhận xét. Không cần phải thực sự nhập nó.)
Nếu bạn muốn sử dụng cài đặt này, vui lòng sử dụng
Định cấu hình Fitelnet-F1000-1 ở phía trung tâm
!BậtNhập mật khẩu:Super← Nhập mật khẩu của bạn. (Nó không thực sự được hiển thị)Định cấu hình thiết bị đầu cuốiBộ định tỷ lệ kèo nhà cái (config)#tên máy chủ F1000-1f1000-1 (config)#Giao diện LAN 1f1000-1 (config-if lan 1)#Địa chỉ IP 192.168.3.1 255.255.255.0f1000-1 (config-if lan 1)#Thoát!Giao diện PPPOE 1f1000-1 (config-if pppoe 1)#Bản đồ Crypto Map1f1000-1 (config-if pppoe 1)#Kiểm tra máy chủ PPPOEf1000-1 (config-if pppoe 1)#Tài khoản pppoe zyx@furukawa.co.jp Zyxf1000-1 (config-if pppoe 1)#Máy chủ loại PPPOEf1000-1 (config-if pppoe 1)#Địa chỉ IP 200.200.200.200f1000-1 (config-if pppoe 1)#Thoát!ROUTER RIPf1000-1 (config-rip)#mạng LAN 1f1000-1 (config-rip)#Phân phối lạiđịa phương-prot1 tỷ lệ kèo nhà cái đường AAA!24303_24345f1000-1 (config-rip)#Thoát!tỷ lệ kèo nhà cái đường AAA cho phép 1F1000-1 (config-rmap AAA cho phép 1)#Đặt số liệu6!Đặt giá trị số liệu để quảng cáo với RIP thành 6F1000-1 (config-rmap AAA cho phép 1)#Thoát!VPN Bật Ewan 1f1000-1 (config)#VPNLOG Bật!Chính sách Crypto ISAKMP 1f1000-1 (config-isakmp)#Prekey xác thựcf1000-1 (config-isakmp)#Mã hóa AES 128f1000-1 (config-isakmp)#Nhóm 2f1000-1 (config-isakmp)#Hash Shaf1000-1 (config-isakmp)#ICMP luôn luôn luôn tự tinf1000-1 (config-isakmp)#25056_25096f1000-1 (config-isakmp)#Keepalive-ICMP Nguồn giao diện LAN 1f1000-1 (config-isakmp)#25195_25240f1000-1 (config-isakmp)#Key Ascii Furukawaf1000-1 (config-isakmp)#Máy chủ ngang hàng Kyoten1-1f1000-1 (config-isakmp)#Giao diện đường hầm PPPOE 1*4f1000-1 (config-isakmp)#Thoát!25499_25555!IPSEC Access-List 10 IPSec IP bất kỳ 172.16.0.0 0.0.255.255f1000-1 (config)#IPSEC Access-List 64 Bypass IP bất kỳ!Bản đồ tiền điện tử MAP1 1f1000-1 (config-crypto-map)#Địa chỉ khớp 10F1000-1 (config-crypto-map)#Đặt máy chủ ngang hàng Kyoten1-1f1000-1 (config-crypto-map)#Đặt P2-SET P2-Policyf1000-1 (config-crypto-map)#Giao diện tỷ lệ kèo nhà cái SA-UP PPPOE 1 cục bộ-Prot1100!Đăng ký thông tin tỷ lệ kèo nhà cái đường của riêng bạn làm giá trị khoảng cách 100f1000-1 (config-crypto-map)#Thoát!kết thúc!Lưu Side-A.CFG% tiết kiệm công việc-configĐặt lạiBạn có ổn không khi bắt đầu lạnh? (Y/N)Y
| *4: | Phiên bản phần sụn có thể được đặt thành V01.09 trở lên cho F100 và V01.02 trở lên cho F1000. Nó chỉ hoạt động ở chế độ tích cực. |
Ví dụ về cấu hình lệnh
(dòng trong! Là một nhận xét. Không cần phải thực sự nhập nó.)
Nếu bạn muốn sử dụng cài đặt này, vui lòng sử dụng
Cài đặt bên trung tâm Fitelnet-F1000-2
!enableNhập mật khẩu:Super← Nhập mật khẩu của bạn. (Nó không thực sự được hiển thị)Định cấu hình thiết bị đầu cuốiBộ định tỷ lệ kèo nhà cái (config)#tên máy chủ F1000-2f1000-2 (config)#Giao diện LAN 1f1000-2 (config-if lan 1)#Địa chỉ IP 192.168.3.20 255.255.255.0f1000-2 (config-if lan 1)#Thoát!Giao diện PPPOE 1f1000-2 (config-if pppoe 1)#Bản đồ tiền điện tử MAP2f1000-2 (config-if pppoe 1)#Máy chủ PPPOE TEST2f1000-2 (config-if pppoe 1)#Tài khoản pppoe xyz@furukawa.co.jp XYZf1000-2 (config-if pppoe 1)#Máy chủ loại PPPOEf1000-2 (config-if pppoe 1)#Địa chỉ IP 100.100.100.100f1000-2 (config-if pppoe 1)#Thoát!ROUTER RIPf1000-2 (config-rip)#mạng LAN 1f1000-2 (config-rip)#Phân phối lạiđịa phương-Prot2 tỷ lệ kèo nhà cái đường AAA!29231_29273f1000-2 (config-rip)#Thoát!tỷ lệ kèo nhà cái đường AAA cho phép 1F1000-2 (config-rmap AAA Permit 1)#Đặt số liệu10!Đặt giá trị số liệu để quảng cáo với RIP thành 10F1000-2 (config-rmap AAA Permit 1)#Thoát!VPN Bật Ewan 1f1000-2 (config)#VPNLOG Bật!Chính sách Crypto ISAKMP 1f1000-2 (config-isakmp)#Prekey xác thựcf1000-2 (config-isakmp)#Mã hóa AES 128f1000-2 (config-isakmp)#Nhóm 2f1000-2 (config-isakmp)#Hash Shaf1000-2 (config-isakmp)#ICMP luôn luôn luôn luônf1000-2 (config-isakmp)#29986_30026f1000-2 (config-isakmp)#Keepalive-ICMP Nguồn giao diện LAN 1f1000-2 (config-isakmp)#Giao diện đa đường của Keepalive-ICMP PPPOE 1f1000-2 (config-isakmp)#Key Ascii Furukawaf1000-2 (config-isakmp)#Máy chủ đồng đẳng Kyoten1-2f1000-2 (config-isakmp)#Giao diện đường hầm PPPOE 1*5f1000-2 (config-isakmp)#Thoát!IPSEC Transform-Set P2-Policy ESP-AES-128 ESP-SHA-HMAC!IPSEC Access-List 10 IPSec IP bất kỳ 172.16.0.0 0.0.255.255f1000-2 (config)#IPSEC Access-List 64 Bypass IP bất kỳ!Bản đồ tiền điện tử MAP2 1f1000-2 (config-crypto-map)#Địa chỉ khớp 10f1000-2 (config-crypto-map)#Đặt máy chủ ngang hàng Kyoten1-2f1000-2 (config-crypto-map)#Đặt p2-policy biến đổif1000-2 (config-crypto-map)#Giao diện tỷ lệ kèo nhà cái SA-UP PPPOE 1 cục bộ-ProT2150!Đăng ký thông tin tỷ lệ kèo nhà cái đường của riêng bạn làm giá trị khoảng cách 150f1000-2 (config-crypto-map)#Thoát!kết thúcF1000-2#Lưu Side-A.CFG% tiết kiệm công việc-configĐặt lạiBạn có ổn không khi bắt đầu lạnh? (Y/N)Y
| *5: | Phiên bản phần sụn có thể được đặt thành V01.09 trở lên cho F100 và V01.02 trở lên cho F1000. Nó chỉ hoạt động ở chế độ tích cực. |
Bảo lưu mọi quyền, Bản quyền (c) Công ty TNHH Điện Furukawa, Ltd. 2007