返回
ipsecvpn冗余总结

ipsecvpn冗余总结

ID:27539463

大小:234.16 KB

页数:4页

时间:2018-12-03

ipsecvpn冗余总结_第1页
ipsecvpn冗余总结_第2页
ipsecvpn冗余总结_第3页
ipsecvpn冗余总结_第4页
资源描述:

《ipsecvpn冗余总结》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IPSECVPN冗余总结Ipsecvpn设计一书中提到的冗余主要包括如下几类:Fromafault-toleranceperspective,theTPSecVPNcanbebrokendownintothefollowingcomponents:•ThebackboneIPnetwork,connectingthesitesoftheVPN•Accesslink,ThelinkthatconnectstheIPSecgatewaytotheIPbackbone•TheIPSecgatewayitself其中主干链路容错我们管不到,能做的只有接入链路冗余

2、和网关设备冗余。下面就主要讨论一下这两种冗余方案。一、接入链路冗余接入链路冗余实现起来有两种方法:1、双链路多IKE身份2、双链路单IKE身份1、双链路多IKE身份RIC:DocumentsandSettingsshicdl^具体的输山就自己贴上配置看吧。正如书上所说的,双链路或者双设备就有可能出现非对称路由的情况,在多1KE身份的情况下,是否是非对称路由也无所谓,如果是非对称的则数据流从spoke到hub和数裾流的返冋,最终会建立IKESA和IPSECSA,并且稳定在这两个SA的状态中。期间会经历spokeSAMi新这一步,但最终也会稳定。如果你

3、在设置路由的吋候是对称路由,则不会山现spoke更新SA这一情况。非对称路由在这里的坏处就是占川内存,他占用了1小时(默认的)的1PSECSA和24(默认)小时的1KESA的内存。书上的解释是这样的:‘‘ArouterwithmultiplesetpeerstatementscachesthepeeraddressthatsuccessfullycompletedthelastIPSecconnection.SubsequentIPSecconnectionsinitiatedfromthispeerusethecachedpeerasthefirsta

4、ttemptedpeerregardlessoftheorderofsetpeerstatements’’2、双链路单IKE身份同样用1屮的拓扑说明问题,具体见http://bbs.chinaunix.net/viewthread.php?tid=1442243这篇中占■?。着重关注HUB路由器showcryipsecsa的输山,单个SA被两个接门共亨,两个接门的inboundespsas相同并.目.两个接口的outboundespsas相同。这降低/內存开销并月.使管理更容易了。另外,注意链路的收敛速度。数据流回复的速度和路巾协议收敛的速度相同。这里需

5、要注意的是在设罝的时候要将IKE的失效检测间隔设置成大于路由协议收敛的时间。比较这两种方法,很明显单1KE身份比较好。所以对于链路冗余,推荐用单IKE身份的设置。二、网关设备冗余1、RRI+HSRP--收敛时间忪并H热切换不行。R2OSPFARCA0这种方法有优点也有缺点。优点是设罝比较简单,缺点是收敛时间长,更恶心的是热切挽不行。在spoke上川扩展ping来pinghub时进行切换就会一直不通,因力在R3上当和10.4.4.3(R1为standby的主时)建立了一个入和出的spi,R1down之后会一直使用这个spi,所以不通,此时在R3上停止pin

6、g,并clearcrysess后再ping192.168.1.5so10.0.0.1则会ping通。因为清除掉了原来的spi并新建了一个spi。而且在你一直ping的时候从R4telnet至UR3并且clearcrysession也小会起作用。具体配置http://bbs.chinaunix.net/viewthread.php?tid=l370319&extra=2、有状态故障切换SSO--这是推荐的设置方法,但不能传组播和广播。收敛时间与HSRP收敛时间相同192.16X.I.0/2410.1.1.0/24C:DocumentsandSetting

7、sshicdl^SSO负责SA的同步,HSRP负责链路的切换。这个实验很有意思,在配置sso的时候要注意,必须重启路由器才能使sso的配置生效(用模拟器做实验的时候耑要将配置寄存器设为0x2102,之后重启保存配置即可),重启之后还得重新没置SSO的local-ip(即ipczonedefault中配置的),因为当你把两个hub路巾器重启后你会发现showrun的时候local-ip没有了。3、GRE对等体冗余…推荐的配置方法,基本上是无敌模式,什么都支持,甚至能将加密流量负载均衡。收敛时间由路由协议决定。如果两条链路cost相同,则路由协议会选则用

8、两条链路,此时可以负载均衡,收敛的时候不会丢包;如果两条链路cost不同,则路由

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。