多主机思科VPN服务器
多主机思科VPN服务器
提问于 2014-10-30 10:41:44
我试图用两个外部IP配置Cisco 1841,以接受外部接口上的VPN连接,并通过发生VPN连接的接口维护数据流。
我的思科有两个外部链接:一个是缓慢但无限和廉价的,第二个是快速,但有每月的数据允许。我想用一个或另一个外部VPN主机地址来配置VPN客户端,以便选择正在使用的链接。
我有以下配置:
crypto isakmp client configuration group vpnclients
key secretkey
dns 172.16.64.1
domain domain.com
pool vpnpool
crypto isakmp profile VPNclient
description VPN clients profile
match identity group vpnclients
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
reverse-route
crypto map mymap 10 ipsec-isakmp dynamic dynmap
interface FastEthernet0/0
ip address 123.33.90.97 255.255.255.248
crypto map mymap
interface FastEthernet0/1
ip address 193.41.235.251 255.255.255.248
crypto map mymap
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0我认为,我遇到的问题是默认的ip路由,它迫使所有返回的流量都通过Fa0/0。如果VPN连接发生在193.41.235.251上,我想不出如何通过Fa0/1强制VPN通信。
解决这个问题最好的办法是什么?策略路由?
回答 1
Server Fault用户
发布于 2014-11-02 01:48:49
由于您使用cryto映射来加密特定的通信量,外部vrf选项可能无法工作。
另一种选择是按照您的建议使用策略路由,但是由于您试图对由该框生成的数据包进行策略路由,所以需要使用ip local policy语法。
这是一个例子,它可能会工作,但我不知道IOS版本或功能集,也没有洞察路由器上的其他配置。
ip access-list extended F01-VPN-SOURCE-ACL
permit ip host 193.41.235.251 any
route-map F01-VPN-MAP 10
match ip address F01-VPN-SOURCE-ACL
set interface fa0/1
set ip next-hop 193.41.235.###
ip local policy route-map F01-VPN-MAP页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/640824
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号