全部分类

搜索资料

首页 IPSEC-VPN冗余总结

IPSEC-VPN冗余总结

举报

开通vip

IPSEC-VPN冗余总结IPSEC-VPN冗余总结IPSEC-VPN冗余总结PAGE/NUMPAGESIPSEC-VPN冗余总结IPSECVPN冗余总结Ipsecvpn设计一书中提到的冗余主要包括如下几类：Fromafault-toleranceperspective,theIPSecVPNcanbebrokendownintothefollowingcomponents:ThebackboneIPnetwork,connectingthesitesoftheVPNAccesslink，Thelinkthatconnectst...

IPSEC-VPN冗余总结

IPSEC-VPN冗余总结 IPSEC-VPN冗余总结PAGE/NUMPAGESIPSEC-VPN冗余总结IPSECVPN冗余总结Ipsecvpn设计一书中提到的冗余主要包括如下几类：Fromafault-toleranceperspective,theIPSecVPNcanbebrokendownintothefollowingcomponents:ThebackboneIPnetwork,connectingthesitesoftheVPNAccesslink，ThelinkthatconnectstheIPSecgatewaytotheIPbackboneTheIPSecgatewayitself其中主干链路容错我们管不到，能做的只有接入链路冗余和网关设备冗余。下面就主要讨论一下这两种冗余方案。接入链路冗余接入链路冗余实现起来有两种方法：1、双链路多IKE身份2、双链路单IKE身份双链路多IKE身份配置参见excel具体的输出就自己贴上配置看吧。正如书上所说的，双链路或者双设备就有可能出现非对称路由的情况，在多IKE身份的情况下，是否是非对称路由也无所谓，如果是非对称的则数据流从spoke到hub和数据流的返回，最终会建立IKESA和IPSECSA，并且稳定在这两个SA的状态中。期间会经历spokeSA更新这一步，但最终也会稳定。如果你在设置路由的时候是对称路由，则不会出现spoke更新SA这一情况。非对称路由在这里的坏处就是占用内存，他占用了1小时（默认的）的IPSECSA和24（默认）小时的IKESA的内存。书上的解释是这样的：“ArouterwithmultiplesetpeerstatementscachesthepeeraddressthatsuccessfullycompletedthelastIPSecconnection.SubsequentIPSecconnectionsinitiatedfromthispeerusethecachedpeerasthefirstattemptedpeerregardlessoftheorderofsetpeerstatements”双链路单IKE身份同样用1中的拓扑说明问题，具体见HYPERLINK""这篇帖子。着重关注HUB路由器showcryipsecsa的输出，单个SA被两个接口共享，两个接口的inboundespsas相同并且两个接口的outboundespsas相同。这降低了内存开销并且使管理更容易了。另外，注意链路的收敛速度。数据流回复的速度和路由协议收敛的速度相同。这里需要注意的是在设置的时候要将IKE的失效检测间隔设置成大于路由协议收敛的时间。比较这两种方法，很明显单IKE身份比较好。所以对于链路冗余，推荐用单IKE身份的设置。网关设备冗余RRI+HSRP---收敛时间长并且热切换不行。这种方法有优点也有缺点。优点是设置比较简单，缺点是收敛时间长，更恶心的是热切换不行。在spoke上用扩展ping来pinghub时进行切换就会一直不通，因为在R3上当和10.4.4.3（R1为standby的主时）建立了一个入和出的spi，R1down之后会一直使用这个spi，所以不通，此时在R3上停止ping，并clearcrysess后再ping192.168.1.5so10.0.0.1则会ping通。因为清除掉了原来的spi并新建了一个spi。而且在你一直ping的时候从R4telnet到R3并且clearcrysession也不会起作用。具体配置有状态故障切换SSO---这是推荐的设置方法，但不能传组播和广播。收敛时间与HSRP收敛时间相同具体配置如下SSO负责SA的同步，HSRP负责链路的切换。这个实验很有意思，在配置sso的时候要注意，必须重启路由器才能使sso的配置生效（用模拟器做实验的时候需要将配置寄存器设为0x2102，之后重启保存配置即可），重启之后还得重新设置sso的local-ip（即ipczonedefault中配置的），因为当你把两个hub路由器重启后你会发现showrun的时候local-ip没有了。GRE对等体冗余---推荐的配置方法，基本上是无敌模式，什么都支持，甚至能将加密流量负载均衡。收敛时间由路由协议决定。如果两条链路cost相同，则路由协议会选则用两条链路，此时可以负载均衡，收敛的时候不会丢包；如果两条链路cost不同，则路由协议选择一条链路，切换时间为路由协议的收敛时间，切换的时候可能会丢一两个包。配置如下：像这类报错*May1911:00:36.499:%CRYPTO-4-PKT_REPLAY_ERR:decrypt:replaycheckfailedconnectionid=1,sequencenumber=127我搜了一下，反重放攻击类的错误。文档上要求添加如下命令，就是将重放窗口调大cryptoipsecsecurity-associationreplaywindow-size256但在R123上写了这句话也不管用，还是报错。内容总结（1）数据流回复的速度和路由协议收敛的速度相同（2）这里需要注意的是在设置的时候要将IKE的失效检测间隔设置成大于路由协议收敛的时间

                    本文档为【IPSEC-VPN冗余总结】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：免费已有0 人下载

立即下载

你可能还喜欢

最新资料

资料动态

专题动态

is_270070

暂无简介~

格式：doc

大小：2MB

软件：Word

页数：4

分类：

上传时间：2020-05-18

浏览量：7

热点搜索

GBT1804-92参考文件 excel表格中字体模糊秸秆反应堆操作规程 - 山东省秸秆生物工程技术研究中心 MapInfo学习会计理论魏明海第四版书 02安全培训、教育需求识别表中小学生视力监测制度管理十戒成立兼职救护队文件山西省太原市外研高中英语必修二-module-2-no-drugs语言知识点及练习(含练习答案) 燃油锅炉定期保养检查记录表(1) Party Time(李玟)-简谱-吉他谱-钢琴谱-电子琴谱-手风琴谱-二胡谱-笛萧谱-萨克斯谱-古筝谱-歌词太乙导引术[讲解] 冲子研磨机操作说明 GBT1804-92参考文件 excel表格中字体模糊秸秆反应堆操作规程 - 山东省秸秆生物工程技术研究中心 MapInfo学习会计理论魏明海第四版书 02安全培训、教育需求识别表中小学生视力监测制度管理十戒成立兼职救护队文件山西省太原市外研高中英语必修二-module-2-no-drugs语言知识点及练习(含练习答案) 燃油锅炉定期保养检查记录表(1) Party Time(李玟)-简谱-吉他谱-钢琴谱-电子琴谱-手风琴谱-二胡谱-笛萧谱-萨克斯谱-古筝谱-歌词太乙导引术[讲解] 冲子研磨机操作说明