GLBP實現(xiàn)SVTI的ipsec站點冗余

R1和R2上運行×××網(wǎng)關(guān)和GLBP，R3模擬ISP路由器，R1和R4建立SVTI的ipsec站點。

如果使用傳統(tǒng)的IPsec建立的×××站點，由于源地址是無法指定IP，所以R1無法使用虛擬IP和R4建立×××關(guān)聯(lián)。

SVTI在IPsec內(nèi)嵌了GRE，由tunnel指定源IP和目的IP，加掛IPsec，IPsec的起點和終點就和tunnel指定的相同，這樣就可以實現(xiàn)IPsec的源IP指定。

看一下R1配置

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 40.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto ipsec profile ipsec-profile
 set transform-set ESP-des-md5
!
!
!
!
!
interface Tunnel0
 ip address 172.16.1.1 255.255.255.0
 tunnel source 61.1.1.1
 tunnel destination 40.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-profile
!
interface FastEthernet0/0
 ip address 61.1.1.4 255.255.255.0
 duplex auto
 speed auto
 glbp 1 ip 61.1.1.1
 glbp 1 load-balancing host-dependent
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 61.1.1.3

////

R2的配置，就是接口的IP不同為61.1.1.2，其它的都相同。

另外glbp 1 load-balancing host-dependent

這樣可以黏住R3，向61.1.1.1送的包一直向R1或者R2不變，如果默認(rèn)的話會隨著ARP的超時，或者其它什么原因，把包送到另外一臺路由上，造成IPsec中斷。

R3就配置接口就行，略。

R4的配置

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 61.1.1.1
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto ipsec profile ipsec-profile
 set transform-set ESP-des-md5
!
!
!
!
!
interface Tunnel0
 ip address 172.16.1.4 255.255.255.0
 tunnel source 40.1.1.2
 tunnel destination 61.1.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-profile
!
interface FastEthernet0/0
 ip address 40.1.1.2 255.255.255.0
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 40.1.1.1

 當(dāng)然是要HSRP和VRRP也能達(dá)到同樣的效果，另外也不用glbp 1 load-balancing host-dependent了。