一、组网需求:
由于物理链路的不稳定,现在要求在IPsec隧道两端通过发送定时报文来保持VPN的连通性。如果物理链路出现问题,IPsec隧道响应方将无法与发起方通信,所以必须在发起方配置NQA探测来刷新链路状态,保持隧道的连通性,还可以通过防火墙来控制进行NQA探测的时段。
设备清单:MSR系列路由器两台。
二、组网图
三、配置步骤
# //配置设备的时区为北京时区 clock timezone BeiJing add 08:00:00 # //新建一个时间范围 time-range time 08:00 to 12:00 daily # //定义一个acl来禁止在规定时间段之外进行NQA探测 acl number 3001 rule 0 deny udp destination 2.2.2.2 0 destination-port eq 8000 time-range time # //采用野蛮模式可以穿越NAT ike peer peer exchange-mode aggressive pre-shared-key cipher 123 remote-address 2.2.2.2 nat traversal # ipsec proposal def # ipsec policy policy 1 isakmp security acl 3001 ike-peer peer proposal def # interface GigabitEthernet0/0 port link-mode route //利用防火墙来控制进行NAQ探测的时间段 firewall packet-filter 3001 outbound //地址自动获取,但要在设备上配置一条默认路由出口指向网关地址 ip address dhcp-alloc //应用安全策略 ipsec policy policy # //创建一个管理员名字为admin,测试操作标签为test的NQA测试组 nqa entry admin test //测试类型是UDP-echo type udp-echo //指定NQA服务器地址 destination ip 2.2.2.2 //指定发送报文的UDP端口号 destination port 8000 //指定连续两次测试看是的时间间隔为3000ms frequency 3000 //开启NQA测试组的历史记录保存功能 history-record enable //配置一次NQA测试中探测的次数为2 probe count 2 //配置一次探测的超时时间为50000ms probe timeout 50000 # //配置NQA探测的启动时间和持续时间 nqa schedule admin test start-time now lifetime forever # //指定几个网络上知名的NTP服务器的IP地址以保证设备时间的准确性 ntp-service unicast-server 207.46.232.182 ntp-service unicast-server 207.46.197.32 ntp-service unicast-server 192.43.244.18 #
# ike peer peer exchange-mode aggressive pre-shared-key cipher TEzJOUGCmuE= nat traversal # ipsec proposal def # //IPsec响应方采用策略模板模式 ipsec policy-template policy 1 ike-peer peer proposal def # ipsec policy policy1 1 isakmp template policy # interface GigabitEthernet0/0 port link-mode route ip address 2.2.2.2 255.255.255.0 ipsec policy policy1 # //使能NQA服务器功能 nqa server enable //在NQA服务器上开启UDP监听功能,监听目的地址为2.2.2.2,端口号为8000的UDP报文 nqa server udp-echo 2.2.2.2 8000 #
四、配置关键点
1. 要在设备上制定NTP服务器来保证时间的准确性。
2. 配置IKE的时候,发起方必须制定remote-address。
3. 可以用防火墙来灵活的控制NQA探测的时间段。
4. IPsec响应端使用野蛮模式的时候不用配置acl。
5. 必须在R1上再配置一条默认路由指向上行网关,要保证IPsec隧道两端是路由可达的。
