9.

1 Ejemplo para configurar DHCP y NAT para permitir que los usuarios obtengan
dinámicamente direcciones IP y accedan a Internet
9.2 Asociación de IPSec con NQA para implementar la conmutación rápida entre peers
y enlaces activos y en espera
9.1 Ejemplo para configurar DHCP y NAT para permitir que los usuarios obtengan
dinámicamente direcciones IP y accedan a Internet
Especificaciones
Este ejemplo se aplica a todos los modelos de routers AR que ejecutan todas las
versiones.

Requisitos de red
El router funciona como el gateway de egreso de una empresa. La empresa tiene
departamentos A y B, y planifica dos segmentos de red de direcciones (10.10.1.0/25
y 10.10.1.128/25) y direcciones de gateway (10.10.1.1/25 y 10.10.1.129/25) para
terminales en los dos departamentos respectivamente. En el departamento A, los PC
se utilizan como terminales de oficina, con el contrato de arrendamiento de 30
días, el nombre de dominio huawei.com y la dirección del servidor de DNS 10.10.1.2.
En el departamento B, los ordenadores portátiles de los empleados en viajes de
negocios se utilizan principalmente, con el contrato de arrendamiento de 2 días, el
nombre de dominio huawei.com y la dirección del servidor de DNS 10.10.1.2. Las
direcciones internas de la empresa se planifican como direcciones de red privadas y
los terminales deben acceder a Internet. Por lo tanto, NAT debe configurarse para
implementar la traducción de direcciones de red privadas a direcciones de red
públicas. La dirección IP remota de la interfaz de salida GE0/0/3 conectada al
router es 200.100.1.1/24.

Figura 9-1 Diagrama de redes de configuración de DHCP y NAT para permitir a los
usuarios obtener direcciones IP de manera dinámica y acceder a Internet

Procedimiento
Configure el Router.
#
sysname Router //Modifique el nombre del dispositivo.
#
dhcp enable //Habilite la función de DHCP.

#
acl number 2000 //Configure el segmento de dirección de red interna 10.10.1.0/24
en el cual está permitida NAT.
rule 5 permit source 10.10.1.0 0.0.0.255
#
ip pool ip-pool1
gateway-list 10.10.1.1 //Configure la dirección de gateway.

network 10.10.1.0 mask 255.255.255.128 //Configure el rango de direcciones IP que

pueden asignarse dinámicamente en el grupo de direcciones globales.

excluded-ip-address 10.10.1.2 //Configure 10.10.1.2 en el grupo de direcciones

para que no se asigne automáticamente.
dns-list 10.10.1.2 //Configure la dirección IP del servidor de DNS utilizado por
el cliente de DHCP.
lease day 30 hour 0 minute 0 //Configure la concesión de la dirección IP a 30
días.
domain-name huawei.com //Configure el nombre de dominio huawei.com.

#
ip pool ip-pool2
gateway-list 10.10.1.129 //Configure la dirección de gateway.
 network 10.10.1.128 mask 255.255.255.128 //Configure el rango de direcciones IP
que pueden asignarse dinámicamente en el grupo de direcciones globales.
dns-list 10.10.1.2 //Configure la dirección IP del servidor de DNS utilizado por
el cliente de DHCP.
lease day 2 hour 0 minute 0 //Configure la concesión de la dirección IP a 2 días.
domain-name huawei.com //Configure el nombre de dominio huawei.com.

#
interface GigabitEthernet0/0/1
ip address 10.10.1.1 255.255.255.128
dhcp select global //La interfaz funciona en el modo de pool de direcciones
globales.
#
interface GigabitEthernet0/0/2
ip address 10.10.1.129 255.255.255.128
dhcp select global //La interfaz funciona en el modo de pool de direcciones
globales.
#
interface GigabitEthernet0/0/3
ip address 200.100.1.2 255.255.255.0
nat outbound 2000 //Configure NAT en modo de easy IP en la interfaz de salida
GE0/0/3 para implementar la traducción de direcciones de red privadas a direcciones
de red públicas.
#
ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //Configure la ruta predeterminada
para garantizar que la ruta desde la interfaz de salida hasta el peer sea
alcanzable.
#
return
Verifique la configuración.
# Ejecute el comando display ip pool en el router para verificar la asignación de
la piscina de direcciones IP. Ejecute el comando display nat outbound para
verificar la configuración de NAT en GE0/0/3. Después de que la configuración sea
exitosa, los terminales pueden obtener dinámicamente direcciones IP y acceder a
Internet.

Notas de configuración
Configure una ACL para determinar cuál segmento de red debe realizarse NAT.

9.2 Asociación de IPSec con NQA para implementar la conmutación rápida entre peers
y enlaces activos y en espera
Introducción de IPSec
Como se muestra en Figura 9-2, IPSec VPN permite a los usuarios conectarse a la VPN
a través de Internet en cualquier modo sin limitaciones geográficas. IPSec VPN se
aplica al acceso de los usuarios y socios de la oficina móvil y se utiliza para la
comunicación entre la sede y la sucursal de la empresa.

Los flujos de datos entre sitios están encriptados y transmitidos de manera segura
a través de túneles de IPSec, aunque se transmiten a través de la red pública.

Figura 9-2 Redes de IPSec VPN

Como se muestra en Figura 9-3, para garantizar la confiabilidad de los dispositivos

en la sede, la sede usa dos o más dispositivos para establecer grupos de VRRP y
establece un túnel de IPSec con la sucursal. El gateway de la sucursal debe
establecer un túnel de IPSec con la sede configurando dos direcciones o nombres de
dominio para un peer. El gateway de la sucursal utiliza la primera dirección o
nombre de dominio para establecer un túnel de IPSec con el gateway de la sede. Si
el túnel de IPSec no se puede configurar o la detección de peer muerto (DPD) falla,
se utiliza la segunda dirección o nombre de dominio. Sin embargo, el proceso de
conmutación requiere mucho tiempo. Además, después de rectificar el fallo, el
tráfico no se puede volver a cambiar al peer original.

Puede asociarse IPSec con NQA para verificar si la dirección del peer no es válida
según la prueba de NQA. Si la dirección del peer no es válida, el tráfico se
conmuta rápidamente al otro peer. Esto garantiza que el tráfico se conmute
rápidamente a otro gateway de la sede cuando falla un gateway de la sede. Además,
puede configurarse la conmutación reversiva para garantizar que el tráfico se puede
conmutar nuevamente después de que se recupere el gateway de la sede original.

Para aumentar la confiabilidad de los enlaces de sucursales, el gateway de

sucursales se conecta a Internet mediante dos interfaces. El gateway de la sucursal
utiliza el enlace activo para establecer un túnel de IPSec con el gateway de la
sede. Si el enlace activo falla, el gateway de la sucursal utiliza el enlace en
espera para establecer un túnel de IPSec. El proceso de conmutación requiere mucho
tiempo. Después de rectificarse el fallo, el tráfico no se puede volver a conmutar
al enlace activo. Por lo tanto, también puede asociarse IPSec con NQA para
verificar si el enlace activo funciona correctamente de acuerdo con la prueba de
NQA. Si el enlace activo falla, el tráfico se conmuta rápidamente al enlace en
espera. Además, después de que el enlace activo se recupera, el tráfico puede ser
cambiado.

Figura 9-3 Asociación de IPSec con NQA para implementar conmutación rápida

Notas de configuración
Los dispositivos en el grupo de VRRP se deben configurar con el mismo ID de router
virtual (VRID).
Los algoritmos de autenticación y encriptación de los gateways de la sucursal y la
sede deben ser iguales.
Las ACL en la sucursal y en los gateways de la sede deben espejarse entre sí. Si
las reglas de ACL entre peers no se espejan entre sí, una SA puede establecerse con
éxito sólo cuando el rango definido por la regla de ACL del iniciador es un
subconjunto del rango definido por la regla de ACL del respondedor.
Cuando tanto IPSec como NAT están configurados en un dispositivo, verifique si los
flujos de datos encapsulados por IPSec deben traducirse utilizando NAT.
Si se requiere NAT, la ACL de seguridad debe coincidir con la dirección traducida
por NAT.
Si no se requiere NAT, la ACL de seguridad debe coincidir con la dirección que no
se traduce utilizando NAT. Además, define la acción de denegación en la ACL para
los flujos de datos que deben transmitirse utilizando el túnel de IPSec.
Al configurar IPSec, asegúrese de que la ruta de la red pública sea accesible.
Requisitos de red
Como se muestra en Figura 9-4, HQ1 y HQ2 son gateways de la sede, y AR1 es el
gateway de la sucursal. El servidor DNS analiza los nombres de dominio y el
servidor DDNS actualiza las direcciones IP asignando nombres de dominio.

Para mejorar la confiabilidad del gateway de la sede de la empresa, HQ1 y HQ2

establecen un grupo de VRRP, y HQ1 es el maestro. Para mejorar la confiabilidad del
enlace de la sucursal y la seguridad del servicio, ARI establece una IPSec VPN con
la sede utilizando dos enlaces. El enlace de acceso telefónico de 3G es el enlace
en espera. Los requisitos son los siguientes:

Cuando el enlace entre HQ1 y AR1 falla, el grupo de VRRP puede detectarlo y
realizar una conmutación activa/en espera. HQ2 luego se hace cargo de los servicios
para reducir el impacto de un fallo de enlace en el reenvío de servicios.
Cuando HQ1 falla, AR1 puede establecer rápidamente un túnel de IPSec con HQ2
mediante negociación para reducir la pérdida de tráfico. Además, cuando HQ1 se
recupera, el tráfico se puede volver a conmutar.
Cuando falla el enlace activo de AR1, los servicios en el túnel de IPSec se pueden
conmutar rápidamente al enlace en espera para reducir la pérdida de tráfico. Al
mismo tiempo, cuando el enlace activo se recupera, el tráfico se puede volver a
conmutar rápidamente.
Figura 9-4 Asociación de IPSec con NQA para implementar conmutación rápida

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

Para implementar la copia de seguridad de gateway, configure un grupo de VRRP en

HQ1 y HQ2. Establezca la prioridad de HQ1 en 120 y el retardo de preferencia en 20
segundos, y configure HQ1 como el maestro; establezca la prioridad de HQ2 en 90 y
configúrelo como el de respaldo.
Para garantizar una conmutación rápida activa/en espera de VRRP y reducir la
pérdida de tráfico, asocie VRRP con NQA para supervisar la conectividad del enlace
activo de la sede. Cuando la detección de NQA falla, los flujos de datos pueden
conmutarse de HQ1 a HQ2.
Para implementar una comunicación segura entre la sucursal y la sede, configure
IPSec en HQ1, HQ2 y AR1.
Para implementar una conmutación rápida entre la sucursal y HQ1/HQ2 y reducir la
pérdida del servicio, asocie IPSec con NQA en AR1 para verificar si la dirección de
peer es válida y asegúrese de que el tráfico pueda conmutarse rápidamente a otro
gateway cuando falle un gateway de la sede. Además, también puede configurarse la
conmutación reversible de peers para garantizar que el tráfico se pueda conmutar
nuevamente cuando se recupere el gateway de la sede original.
Para implementar la conmutación rápida de enlaces de sucursal activos y en espera y
reducir la pérdida de servicio, asocie IPSec con NQA en AR1 para supervisar la
conectividad del túnel de IPSec en tiempo real y asegúrese de que el tráfico se
pueda conmutar rápidamente al enlace en espera cuando el enlace de sucursal activo
falla Después de que el enlace activo se recupera, el tráfico puede volverse atrás.
Plan de datos
Tabla 9-1 Tabla de plan de datos
Artículo

Parámetro

Descripción

dirección IP

HQ1:

GE2/0/0 10.1.0.1/24
HQ2:

GE2/0/0 10.1.0.2/24
AR1:

GE1/0/0: 10.2.1.2/24
GE2/0/0 10.0.1.1/24
Cellular0/0/0: 2.1.1.2/24
NAT:

GE1/0/0: 1.0.3.1/24
GE2/0/0 10.2.1.1/24
servidor DNS 5.1.1.2/24
Las interfaces GE1/0/0 de HQ1 y HQ2 obtienen la dirección a través de PPPoE.

El nombre de dominio de HQ1 es store1.huawei.com, y la dirección correspondiente es

3.1.1.1/24.

El nombre de dominio de HQ2 es store2.7huawei.com, y la dirección correspondiente

es 4.1.1.1/24.

Grupo de VRRP

Dirección IP virtual: 10.1.0.10/24

Maestro: HQ1; prioridad: 120; retardo de preferencia: 20 segundos

De respaldo: HQ2; prioridad: 90

Ninguna

Propuesta de IKE

Algoritmo de autenticación: sha2-256

Algoritmo de encriptación: aes-cbc-128

La configuración de la sede y la sucursal debe ser la misma.

Propuesta de IPSec

Algoritmo de autenticación: sha2-256

Algoritmo de encriptación: aes-192

Clave precompartida

Campo de autenticación: huawei1234

Instancia de prueba de NQA

Administrador: usuario

Nombre de la instancia de prueba: prueba, prueba1

Tipo de prueba: ICMP

Número de sondas de prueba para una prueba: 5

Intervalo en el que se envían los paquetes: 20 segundos

Ninguna

Archivos de configuración
Configure HQ1.
#
sysname HQ1
#
dns resolve //Habilite la resolución de DNS para resolver la dirección del
gateway de la sede.
 dns server 5.1.1.2 //Configure la dirección IP del servidor de DNS.
#
ddns policy ddnspolicy1 //Configure una política de DDNS para actualizar la
dirección IP asignando el nombre de dominio.
url oray://username1:password1@phddnsdev.oray.net //Configure una URL del
servidor de DDNS.
#
ipsec proposal def //Configure una propuesta de IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Configure una propuesta de IKE.
encryption-algorithm aes-cbc-128 //En V200R008 y versiones posteriores, el
parámetro aes-cbc-128 se cambia a aes-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Los comandos utilizados para configurar IKE peers y el
protocolo de IKE difieren según la versión del software. En versiones anteriores de
V200R008, el comando es ike peer peer-name [ v1 | v2 ]. En V200R008 y versiones
posteriores, el comando es ike peer peer-name y version { 1 | 2 }. Por defecto,
IKEv1 y IKEv2 están habilitados simultáneamente. Un iniciador usa IKEv2 para
iniciar una solicitud de negociación, mientras que un respondedor usa IKEv1 o IKEv2
para responder. Para iniciar una solicitud de negociación usando IKEv1, ejecute el
comando undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#
//Configure la clave de autenticación de clave precompartida como "huawei1234" en
texto de cifrado. Este comando en V2R3C00 y versiones anteriores es pre-shared-key
huawei1234, y la contraseña se muestra en texto plano.
ike-proposal 1
nat traversal //Habilite transversal de NAT. En V200R008 y versiones
posteriores, el dispositivo admite transversal de NAT de forma predeterminada, y
este comando no es compatible.
dpd type periodic //Especifique el modo de DPD como periódico.
dpd retransmit-interval 10 //Establezca el intervalo para retransmitir paquetes
de DPD a 10 segundos.
#
ipsec policy-template use1 10 //Configure una plantilla de política de IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Haga referencia a la plantilla de
política de IPSec en la política de IPSec.
#
interface Dialer0 //Configure los parámetros de la interfaz de marcación.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@
%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Especifique Dialer bundle para la interfaz de marcación de RS-
DCC.
dialer-group 1 //Especifique un grupo de marcación para la interfaz de marcación.

ddns policy ddnspolicy1 //Aplique la política de DDNS a la interfaz de marcación,

para que la interfaz de marcación pueda reenviar la actualización dinámica al
servidor de DDNS cuando cambie la dirección IP de la interfaz.
ipsec policy branch //Enlace la política de IPSec.
#
interface GigabitEthernet1/0/0
 pppoe-client dial-bundle-number 1 //Enlace la interfaz de marcación y establezca
una sesión de PPPoE.
#
interface GigabitEthernet2/0/0
ip address 10.1.0.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.0.10 //Establezca la dirección virtual del grupo 1 de
VRRP a 10.1.0.10.
vrrp vrid 1 priority 120 //Configure la prioridad del dispositivo en el grupo de
VRRP.
vrrp vrid 1 preempt-mode timer delay 20 //Establezca el retardo de preferencia
para el dispositivo en el grupo de VRRP.
vrrp vrid 1 track nqa user test reduced 40 //Asocie VRRP con NQA para monitorizar
la conectividad del enlace activo de la sede.
#
dialer-rule //Configure una regla de marcación que permita todos los paquetes de
IPv4.
dialer-rule 1 ip permit
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Configure una ruta estática.
#
nqa test-instance user test //Configure una instancia de prueba de NQA.
test-type icmp //Configure el tipo de prueba de la instancia de prueba de NQA
como ICMP.
destination-address ipv4 5.1.1.2
frequency 20 //Configure el intervalo de prueba de NQA automática.
probe-count 5 //Establezca el número de sondas para una prueba.
source-interface Dialer0 //Configure la interfaz de origen que reenvía los
paquetes de NQA.
start now //Inicie la instancia de prueba inmediatamente.
#
return
Configure HQ2.
#
sysname HQ2
#
dns resolve //Habilite una resolución de DNS para resolver la dirección del
gateway de la sede.
dns server 5.1.1.2 //Configure la dirección IP del servidor de DNS.
#
ddns policy ddnspolicy1 //Configure una política de DDNS para actualizar la
dirección IP del mapeo del nombre de dominio.
url oray://username1:password1@phddnsdev.oray.net //Configure una URL del
servidor de DDNS.
#
ipsec proposal def //Configure una propuesta de IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Configure una propuesta de IKE.
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Los comandos utilizados para configurar IKE peers y el
protocolo de IKE difieren según la versión del software. En versiones anteriores de
V200R008, el comando es ike peer peer-name [ v1 | v2 ]. En V200R008 y versiones
posteriores, el comando es ike peer peer-name y version { 1 | 2 }. Por defecto,
IKEv1 y IKEv2 están habilitados simultáneamente. Un iniciador usa IKEv2 para
iniciar una solicitud de negociación, mientras que un respondedor usa IKEv1 o IKEv2
para responder. Para iniciar una solicitud de negociación usando IKEv1, ejecute el
comando undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#
//Configure la clave de autenticación de clave precompartida como "huawei1234" en
texto de cifrado. Este comando en V2R3C00 y versiones anteriores es pre-shared-key
huawei1234, y la contraseña se muestra en texto plano.
ike-proposal 1.
nat traversal //Habilite transversal de NAT. En V200R008 y versiones
posteriores, el dispositivo admite transversal de NAT de forma predeterminada, y
este comando no es compatible.
dpd type periodic //Especifique el modo de DPD como periódico.
dpd retransmit-interval 10 //Establezca el intervalo para retransmitir paquetes
de DPD a 10 segundos.
#
ipsec policy-template use1 10 //Configure una plantilla de política de IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Haga referencia a la plantilla de
política de IPSec en la política de IPSec.
#
interface Dialer0 //Configure los parámetros de la interfaz de marcación.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@
%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Especifique Dialer bundle para la interfaz de marcación de RS-
DCC.
dialer-group 1 //Especifique un grupo de marcación para la interfaz de marcación.

ddns policy ddnspolicy1 //Aplique la política de DDNS a la interfaz de marcación,

para que la interfaz de marcación pueda reenviar la actualización dinámica al
servidor de DDNS cuando cambie la dirección IP de la interfaz.
ipsec policy branch //Enlace la política de IPSec.
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //Enlace la interfaz de marcación y establezca
una sesión de PPPoE.
#
interface GigabitEthernet2/0/0
ip address 10.1.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.0.10 //Establezca la dirección virtual del grupo 1
de VRRP a 10.1.0.10.
vrrp vrid 1 priority 90 //Establezca la prioridad del grupo 1 de VRRP a 90 y
configure HQ2 como Backup.
vrrp vrid 1 track nqa user test reduced 40 //Asocie VRRP con NQA para monitorizar
la conectividad del enlace activo de la sede.
#
dialer-rule //Configure una regla de marcación que permita todos los paquetes de
IPv4.
dialer-rule 1 ip permit
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Configure una ruta estática.
#
nqa test-instance user test //Configure una instancia de prueba de NQA.
test-type icmp //Configure el tipo de prueba de la instancia de prueba de NQA
como ICMP.
destination-address ipv4 5.1.1.2
frequency 20 //Configure el intervalo de pruebas de NQA automáticas.
 probe-count 5 //Establezca el número de sondas para una prueba.
source-interface Dialer0 //Configure la interfaz de origen que reenvía los
paquetes de NQA.
start now //Inicie la instancia de prueba inmediatamente.
#
return
Configure AR1.
#
sysname AR1
#
dns resolve //Habilite la resolución de DNS para resolver la dirección del
gateway de la sede.
dns server 5.1.1.2 //Configure la dirección IP del servidor de DNS.
#
acl number 3000 //Configure una ACL.
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
#
ipsec proposal def //Configure una propuesta de IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Configure una propuesta de IKE.
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer center v2 //Los comandos utilizados para configurar IKE peers y el
protocolo de IKE difieren según la versión del software. En versiones anteriores de
V200R008, el comando es ike peer peer-name [ v1 | v2 ]. En V200R008 y versiones
posteriores, el comando es ike peer peer-name y version { 1 | 2 }. Por defecto,
IKEv1 y IKEv2 están habilitados simultáneamente. Un iniciador usa IKEv2 para
iniciar una solicitud de negociación, mientras que un respondedor usa IKEv1 o IKEv2
para responder. Para iniciar una solicitud de negociación usando IKEv1, ejecute el
comando undo version 2.
pre-shared-key cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%#
//Configure la clave de autenticación de clave precompartida como "huawei1234" en
texto de cifrado. Este comando en V2R3C00 y versiones anteriores es pre-shared-key
huawei1234, y la contraseña se muestra en texto plano.
ike-proposal 1
nat traversal //Habilite transversal de NAT. En V200R008 y versiones
posteriores, el dispositivo admite transversal de NAT de forma predeterminada, y
este comando no es compatible.
dpd type periodic //Especifique el modo de DPD como periódico.
dpd retransmit-interval 10 //Establezca el intervalo para retransmitir paquetes
de DPD a 10 segundos.
remote-address store1.huawei.com track nqa user test1 up //Cuando el estado de la
instancia de prueba de NQA es Up, el nombre de dominio puede usarse como la
dirección remota para la negociación.
remote-address store2.huawei.com track nqa user test1 down //Cuando el estado de
la instancia de prueba de NQA es Down, el nombre de dominio puede usarse como la
dirección remota para la negociación.
switch-back enable
#
ipsec policy center1 1 isakmp //Configure una política de IPSec.
security acl 3000
ike-peer center
proposal def
connect track nqa user test up //Cuando el estado de la instancia de prueba de
NQA es Up, establezca un túnel de IPSec utilizando la política de IPSec.
disconnect track nqa user test down //Cuando el estado de la instancia de prueba
de NQA es Down, finalice el túnel de IPSec establecido utilizando la política de
IPSec.
#
ipsec policy center2 1 isakmp //Configure una política de IPSec..
security acl 3000
ike-peer center
proposal def
connect track nqa user test down //Cuando el estado de la instancia de prueba de
NQA es Down, establezca un túnel de IPSec usando la política de IPSec.
disconnect track nqa user test up //Cuando el estado de la instancia de prueba de
NQA es Up, finalice el túnel de IPSec establecido utilizando la política de IPSec.
#
interface GigabitEthernet1/0/0
ip address 10.2.1.2 255.255.255.0
ipsec policy center1 //Enlace la política de IPSec.