高可用性虛擬專用網絡

概述

服務器的穩定性，不僅僅在於服務器本身的部署規模，從網絡層面講通信鏈路的可用性也是重要環節。常規的虛擬專用網絡在單獨的邊界點處往往只有一根鏈路，爲了防止訪問總部數據庫資源時發生故障、提高服務器端的穩定性，需部署冗餘技術。

鏈路冗餘

1、總部默認只有一根鏈路接入到互聯網，有多個分支撥入總部，若總部故障，全網所有虛擬專用網絡都無法通信，這便是單鏈路故障；
2、爲了防止單鏈路故障，總部可以採用多根物理鏈路接入互聯網，分支默認只撥號到主鏈路，當主鏈路出現故障，能夠自動切換並撥號到備用鏈路。

問題：分支站點怎麼能夠檢測到故障發生，並且自動切換？
答案：採用 IPsec 的 DPD 檢測機制 <Dead Peer Detection，死亡對等體檢測>。

實驗目標：分支連接到總部時，總部有多條冗餘虛擬專用網絡鏈路，實現更穩定的數據傳輸，R2 首先撥號到 R4 的主鏈路，當主鏈路發生故障之後，分支能夠自動撥號到備用鏈路。

實驗流程：
1、配置直連 IP 地址；
2、R1/5 默認路由到 R2/R4, R4 和 R2 默認路由到 R3；
3、部署 IPsec 虛擬專用網絡，R2 調用在 F1/0 接口，R4調用在 F0/0 和 F2/0 接口；
4. R2 上部署鏈路冗餘虛擬專用網絡。

crypto map hamap 1 ipsec-isakmp
set peer 100.1.34.4 //使用 set peer 先寫的地址爲主鏈路
set peer 100.1.43.4
crypto isakmp keepalive 10 2 periodic //開啓 DPD 檢測,每10s發送 hello 包, 20s不迴應,自動切換

設備冗餘

鏈路冗餘中發生鏈路故障時，通信鏈路會自動切換到備用鏈路，類似的，設備冗餘中當一個節點發生故障時，會自動切換到備用節點。而且鏈路冗餘是客戶端在主動切換，設備冗餘切換是服務器端切換。

高可用性虛擬專用網絡設備冗餘的部署主要涉及以下兩種技術：
1、網關冗餘技術 HSRP/VRRP/GLBP
2、IPsec 虛擬專用網絡

R4：
interface FastEthernet0/0
ip address 100.1.34.4 255.255.255.0
standby 10 ip 100.1.34.100
standby 10 priority 200
standby 10 preempt

R6：
interface FastEthernet0/0
ip address 100.1.34.6 255.25525
standby 10 ip 100.1.34.100
standby 10 priority 100
standby 10 preempt

當部署了網關冗餘後，假設內外網 R4 的優先級更高，R2 發往 R5 的流量在 R4 的 f0/0 端口故障後會切換到 R6 後繼續發送，但是 R5 發往 R2 的流量卻仍然會通向 R4 的 f1/0。在設計時希望同一個節點的某一個端口發生故障時，另外一個端口同樣不能再連通。此時需要開啓鏈路追蹤技術。

之後再部署 IPsec 即可。R4 和 R6 部署 IPsec 後，如何實現 HSRP/VRRP 網關切換和 IPsec 虛擬專用網絡切換的同步？

在 standby 下面生成一個字符串，然後在 crypto map 下面關聯字符串 crypto map hamap redundancy xxx