最近接到的一个项目，客户总部在惠州，分部在香港，在香港分部设有ERP服务器与邮件服务器，总部出口为铁通10M光纤与网通1MDDN专线新增，原总部是用
etscree
防火墙与香港的pix515作IPsecVPN对接，现客户要求是新增一条网通DDN专线用来专跑ERP数据业务，就是要求平时总部去分部访问ERP服务器的数据走DDN专线，访问邮件服务器的数据走ipsecVPN但当这两条链路其中有出现故障中断时，能做到链路自动切换，例DDN专线出现故障，原走这条线路的ERP数据能自动切换到ipsecVPN线路去，如果线路恢复线路又自动切换。对
etscree
作了研究它是支持策略路由，但好像不支持线路检测如知道者请提供资料，学习一下。为满足客户要求，我推荐用思科1841路由器，思科支持策略路由与线路检测，一直有看过相应的文档，但没实施过，呵呵，终于有机会了。解方案如下图：
IP分配如下：总部IP段为：1921681024网关：192168111124
etscree
ssg140和透明接入，R1配置：FastEther
et00192168111124FastEther
et011921682124铁通线路IP有改_Serial001921683124网通线路
fPIX515配置：Ether
et1outside1921682224Ether
et0i
side1921684124R2配置：FastEther
et001921684224FastEther
et011921685124Serial001921683224下面只列出重点部分：VPN配置R1PIX515R1第一步：在路由器上定义NAT的内部接口和外部接口R1co
figi
tf00R1co
figifip
ati
sideR1co
figifexitR1co
figi
tf01R1co
figifip
atoutsideR1co
figifexit第二步：定义需要被NAT的数据流即除去通过VPN传输的数据流R1co
figaccesslist101de
yip1921681000025519216840000255R1co
figaccesslist101de
yip1921681000025519216850000255R1co
figaccesslist101permitipa
ya
y第三步：定义NAT。
fR1co
figip
ati
sidesourcelist101i
terfacef01overload第四步：定义感兴趣数据流，即将来需要通过VPN加密传输的数据流。R1co
figaccesslist102permitip1921681000025519216840000255R1co
figaccesslist102permitip1921681000025519216850000255第五步：定义ISAKMP策略。R1co
figcryptoisakmpe
able启用ISAKMPR1co
figcryptoisakmppolicy10R1co
figisakmpauthe
ticatio
preshare认证方法使用预共享密钥R1co
figisakmpe
cryptio
des加密方法使用desR1co
figisakmphashmd5散列算法使用md5R1co
figisakmpgroup2DH模长度为1024第六步：将ISAKMP预共享密钥和对等体关联，预共享密钥为“cisco123456”。R1co
figcryptoisakmpide
tityaddressR1co
figcryptoisakmpkeycisco123456address19216822第七步：设置r