通过互联作备份配置实例的

通过DDN互联VPN作备份配置实例5

定义需要加密码的流量：

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

access-list 100 deny

ip 192.168.10.0 0.0.0.255 any

定义不需要NAT转换的地址：

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.9.0 0.0.0.255

access-list 101 deny

ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

access-list 101 permit ip 192.168.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit

相对于站程序来说 在整个VPN配置中遇到很多问题，主要原因是开始建立VPN之时，用户不同意使用两条独立的线路来建立VPN，想使用北京端现有的Internet线路通过NAT的方式来做VPN，那么这样做就势必受到很多影响，因为要从3640上NAT到现有的2801上面要经过三次NAT，这样做就涉及到安全以及转换的问题，由于客户时间、安全的问题，我没能拿以上三台设备的管理权限，一切只能由他们来做，最终我也不能确定他们在PIX以及SV2000是否正确，最终导致整个VPN的构建失败，由于DDN前期投入到正常使用，这样的测试没有太多时间来完成测试及实验，只能建议客户在北京端申请一条固定IP的ADSL，当两边都为独立的外部线路来建立VPN，比较顺利一次成功，但在测试中SHUTDOWN掉S0/2/0后VPN能马上起来接替DDN而NO SHUTDOWN后DDN线路能起来，但是当再次SHUTDOWN掉S0/2/0接口后，而VPN一直不能建立连接，DEBUG看到一直提示：*Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 61.144.56.100 dst 61.144.56.101 for SPI 0x3A7B69BF，基本确定问题出现在ISAKMP，只能从此着手，经过查看CISCO官方站得出结论大概是ISAKMP有一个存活时间，在此次存活时间内，有一端ISAKMP未失效而另一端又采用新的ISAKMP建立连接，出现匹配造成VPN建立不成功，通过在两端加上ISAKMP的KEEPALIVE存活时间设置，最终问题得到解决，从而实现了正常的切换。

驻马店治疗白癜风医院在哪
武汉白癜风医院
经常心悸失眠是怎么回事