IPSEC-VPN冗余
总结
初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf
IPSEC-VPN冗余总结PAGE/NUMPAGESIPSEC-VPN冗余总结IPSECVPN冗余总结Ipsecvpn设计一
书
关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf
中提到的冗余主要包括如下几类:Fromafault-toleranceperspective,theIPSecVPNcanbebrokendownintothefollowingcomponents:ThebackboneIPnetwork,connectingthesitesoftheVPNAccesslink,ThelinkthatconnectstheIPSecgatewaytotheIPbackboneTheIPSecgatewayitself其中主干链路容错我们管不到,能做的只有接入链路冗余和网关设备冗余。下面就主要讨论一下这两种冗余
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
。接入链路冗余接入链路冗余实现起来有两种方法:1、双链路多IKE身份2、双链路单IKE身份双链路多IKE身份配置参见excel具体的输出就自己贴上配置看吧。正如书上所说的,双链路或者双设备就有可能出现非对称路由的情况,在多IKE身份的情况下,是否是非对称路由也无所谓,如果是非对称的则数据流从spoke到hub和数据流的返回,最终会建立IKESA和IPSECSA,并且稳定在这两个SA的状态中。期间会经历spokeSA更新这一步,但最终也会稳定。如果你在设置路由的时候是对称路由,则不会出现spoke更新SA这一情况。非对称路由在这里的坏处就是占用内存,他占用了1小时(默认的)的IPSECSA和24(默认)小时的IKESA的内存。书上的解释是这样的:“ArouterwithmultiplesetpeerstatementscachesthepeeraddressthatsuccessfullycompletedthelastIPSecconnection.SubsequentIPSecconnectionsinitiatedfromthispeerusethecachedpeerasthefirstattemptedpeerregardlessoftheorderofsetpeerstatements”双链路单IKE身份同样用1中的拓扑说明问题,具体见HYPERLINK""这篇帖子。着重关注HUB路由器showcryipsecsa的输出,单个SA被两个接口共享,两个接口的inboundespsas相同并且两个接口的outboundespsas相同。这降低了内存开销并且使管理更容易了。另外,注意链路的收敛速度。数据流回复的速度和路由
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
收敛的速度相同。这里需要注意的是在设置的时候要将IKE的失效检测间隔设置成大于路由协议收敛的时间。比较这两种方法,很明显单IKE身份比较好。所以对于链路冗余,推荐用单IKE身份的设置。网关设备冗余RRI+HSRP---收敛时间长并且热切换不行。这种方法有优点也有缺点。优点是设置比较简单,缺点是收敛时间长,更恶心的是热切换不行。在spoke上用扩展ping来pinghub时进行切换就会一直不通,因为在R3上当和10.4.4.3(R1为standby的主时)建立了一个入和出的spi,R1down之后会一直使用这个spi,所以不通,此时在R3上停止ping,并clearcrysess后再ping192.168.1.5so10.0.0.1则会ping通。因为清除掉了原来的spi并新建了一个spi。而且在你一直ping的时候从R4telnet到R3并且clearcrysession也不会起作用。具体配置有状态故障切换SSO---这是推荐的设置方法,但不能传组播和广播。收敛时间与HSRP收敛时间相同具体配置如下SSO负责SA的同步,HSRP负责链路的切换。这个实验很有意思,在配置sso的时候要注意,必须重启路由器才能使sso的配置生效(用模拟器做实验的时候需要将配置寄存器设为0x2102,之后重启保存配置即可),重启之后还得重新设置sso的local-ip(即ipczonedefault中配置的),因为当你把两个hub路由器重启后你会发现showrun的时候local-ip没有了。GRE对等体冗余---推荐的配置方法,基本上是无敌模式,什么都支持,甚至能将加密流量负载均衡。收敛时间由路由协议决定。如果两条链路cost相同,则路由协议会选则用两条链路,此时可以负载均衡,收敛的时候不会丢包;如果两条链路cost不同,则路由协议选择一条链路,切换时间为路由协议的收敛时间,切换的时候可能会丢一两个包。配置如下:像这类报错*May1911:00:36.499:%CRYPTO-4-PKT_REPLAY_ERR:decrypt:replaycheckfailedconnectionid=1,sequencenumber=127我搜了一下,反重放攻击类的错误。文档上要求添加如下命令,就是将重放窗口调大cryptoipsecsecurity-associationreplaywindow-size256但在R123上写了这句话也不管用,还是报错。
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
总结(1)数据流回复的速度和路由协议收敛的速度相同(2)这里需要注意的是在设置的时候要将IKE的失效检测间隔设置成大于路由协议收敛的时间