最近接到的一个项目，客户总部在惠州，分部在香港，在香港分部设有ERP服务器与邮件服务器，总部出口为铁通10M光纤与网通1M DDN 专线(新增)，原总部是用netscreen 防火墙与香港的pix 515作IPsec VPN对接，现客户要求是新增一条网通DDN专线用来专跑ERP数据业务，就是要求平时总部去分部访问ERP服务器的数据走DDN专线，访问邮件服务器的数据走ipsecVPN,但当这两条链路其中有出现故障中断时，能做到链路自动切换，例DDN专线出现故障，原走这条线路的ERP数据能自动切换到ipsec VPN线路去，如果线路恢复线路又自动切换。

　　对netscreen 作了研究它是支持策略路由，但好像不支持线路检测(如知道者请提供资料，学习一下)。

　　为满足客户要求，我推荐用思科1841路由器，思科支持策略路由与线路检测，一直有看过相应的文档，但没实施过，呵呵，终于有机会了。

　　解方案如下图：

　　IP分配如下：

　　总部IP段为：192.168.1.0/24 网关：192.168.1.111/24

　　netscreen ssg-140 和透明接入，

　　R1配置：

　　FastEthernet0/0 -- 192.168.1.111/24

　　FastEthernet0/1 -- 192.168.2.1/24 (铁通线路 IP 有改^_^)

　　Serial0/0 --- 192.168.3.1/24 (网通线路)

　　PIX 515配置：

　　Ethernet1 (outside) -- 192.168.2.2/24

　　Ethernet0 (inside) -- 192.168.4.1/24

　　R2配置：

　　FastEthernet0/0 -- 192.168.4.2/24

　　FastEthernet0/1-- 192.168.5.1/24

　　Serial0/0 -- 192.168.3.2/24

　　下面只列出重点部分：

　　VPN配置R1----PIX515

　　R1:

　　第一步：在路由器上定义NAT的内部接口和外部接口

　　R1(config)#int f0/0

　　R1(config-if)#ip nat inside

　　R1(config-if)#exit

　　R1(config)#int f0/1

　　R1(config-if)#ip nat outside

　　R1(config-if)#exit

[1] [2] 下一页