您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

多出口如何建立IPSec VPN?两种配置方式实现高可用性

时间:2020-11-12 12:03:41  来源:  作者:

IPSec VPN高可用性解决方案需要用到DPD、RRI、路由、SLA等技术组合使用才能做到简单的高可用性,缺点是使用场景单一且配置繁琐。由于IPSec VPN的局限性,思科基于IPSec VPN和动态路由推出了新的VPN技术DMVPN(动态多点VPN),DMVPN我们将在VPN系列的后续内容中讲述,此章节主要讲述IPSec VPN如何实现高可用性。

 

下图为此文章所用拓扑图:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

实验拓扑

以上实验配置内容较多不便贴入文章当中,文章中仅体现必要配置,如需要实验全部配置可私信我获取。

1、解决多SA的保活机制DPD技术

前文讲到,IKE SA有效时长24小时,IPSec SA有效时长1小时,如果在有效时间内链路中间发生了故障,加密数据无法正常传输,这时我们需要尽快清除有问题的IPSec SA,与正常工作的其他peer建立IPsec VPN隧道。

这时我们将使用到IPSec VPN的保活机制叫做DPD(Dead Peer Detection),用其来检查对端加密点路由器是否可用,如果对端设备不可用则不需要等到SA有效期到期立即清除不可用的SA。

多出口如何建立IPSec VPN?两种配置方式实现高可用性

VPN高可用性

如上图所示,为保证IPSec的高可用性,外地办事处与总部的两台VPN设备分别建立了两条VPN隧道做主备备份。但是如果没有使用DPD技术,如果主用VPN隧道出现线路故障,VPN又没有使用DPD保活机制,VPN设备不知道远端设备已经不可达,SA依旧存在,则数据包依旧使用主用VPN隧道进行发送,结果就是报文被丢弃,这时需要网络管理员手动清除两端设备的SA,使VPN设备通过IKE重新协商使用备用线路建立备用VPN隧道,但网络管理员手动清除SA显然不符合VPN高可用性的标准,从故障发现到处理故障响应时长也比设备自动检测保活时间长。

这时就需要使用DPD技术,通过VPN设备之间"按需"或"定时"发送HELLO报文探测远端VPN设备是否存活,如果远端VPN设备已经不可达则自动删除现有SA,与备用线路建立IPSec VPN。根据设备性能、设置的DPD检测时长不通,切换时间也不尽相同,但基本保持在10s-20s左右,与网络管理员发现故障后手动清除VPN两端设备的SA相比大大缩短了响应时间。

下图为DPD功能配置:

crypto isakmp keepalive [探测周期时间 [超时重试间隔时间] [模式]

 

探测周期:设置每多少秒进行一次保活探测。

超时重试间隔时间:设备对端响应时间,如远端VPN设备未在要求响应时间内响应则再次放松一次保活探测,共持续5次,5次均未响应则清除此SA。

模式:on-demand模式:按需模式,一旦有数据报文激活SA则开始进行探测。

periodic模式:周期模式,只要存在SA即每指定时间内周期发送探测报文。

 

举例:crypto isakmp keepalive 10 2 on-demand

开启DPD一旦有数据报文激活SA,则每10秒发送HELLO报文探测远端存活性,远端超出2秒内没有响应则继续发送HELLO报文探测远端存活性,共发送5次,如远端VPN设备5次都没有在2秒钟内响应探测报文则此SA将被清除。

 

下图为DPD探测报文(由于探测报文为密文,所以我们抓取debug信息):

正常探测报文:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文抓取

正常SA建立情况:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

SA建立情况

这时手动shutdown端口,让其中一条隧道的加密点不可达。

探测报文:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文抓取

发现加密点没有响应,开始每隔两秒发送一条探测报文,共发送五条。

第一次探测:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文-1

第二次探测:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文-2

第三次探测:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文-3

第四次探测:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文-4

第五次探测未响应后删除相应加密点的SA:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

探测报文-5

此时再查看SA建立情况发现对应加密点的SA已经被删除:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

IKE SA建立状态

附:外地办事处路由器IPSec VPN高可用的相关配置:

crypto isakmp keepalive 10 periodic

crypto map fenzhi 1 ipsec-isakmp

set peer 202.111.34.2 default

set peer 60.111.34.2

set transform-set 20

match address 100

由配置能发现分支与总部两台VPN设备都建立了关联

知识扩展:set peer 202.111.34.2 default为什么后面加了一个 default?

增加default的作用在于如果此设备与多台VPN设备建立了联系,在没有设置default的情况下,是基于设置peer的顺序来选择使用哪一个peer建立的SA进行传输的,一旦第一个peer的SA失效则选择第二的SA进行加解密传输,第二个SA失效则选择第三个SA进行加解密传输,以此类推。

设置上default与未设置default的区别在于,default SA失效以及第二个SA失效后、会再次探测并尝试使用default进行加解密传输,如果default还是处于失效状态,这时才会选择第三个SA进行加解密传输,以此类推。

多出口如何建立IPSec VPN?两种配置方式实现高可用性

default set peer的作用

2、解决核心交换机路由指向问题

然而,仅适用DPD技术只能保证VPN隧道的建立,无法解决下图所描述问题:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

新问题图示

由于公司总部有多个出口VPN设备,所以核心交换机的默认网关一定是指向主用VPN隧道的VPN出口设备,一旦主用VPN链路断掉,DPD删除主用VPN隧道SA,重新建立备用VPN隧道后,数据报文虽然能够通过备用VPN隧道发送至总部服务器,但总部服务器将响应报文发送给核心交换机后,核心交换机根据自己的默认路由将加密报文发送给了主用VPN设备,由于主用VPN设备上的SA已经被DPD删除,所以加密数据报文无法发出,如何告知核心交换机将默认网关指向备用VPN设备将是一大问题。

这时我们将使用OSPF与RRI技术的组合或等价路由与SLA技术的组合来进行解决。

2.1、使用OSPF+RRI技术

RRI的作用在于应用在IPSec VPN的map中,一旦此map建立SA,则生成一条静态路由,该静态路由是目标地址为对端通信点,下一条为对端加密点的静态路由。

然后使用OSPF的重分布静态路由功能,将RRI产生的静态路由告知三层交换机。

正常数据传输:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

OSPF+RRI技术图示

主用VPN隧道SA因加密点不可达被DPD清除:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

OSPF+RRI技术解决方案图示

相关配置:

总部联通路由器:

1、 在IPSec VPN的map中启用RRI并打上tag

crypto map zongbu-lt 1 ipsec-isakmp

set peer 202.102.134.2

set transform-set 11

set reverse-route tag 10 为产生的静态路由打上tag10,便于后面再route-map调用

match address 100

reverse-route 启用RRI

 

2、 创建名为static的route-map并匹配tag 10,建立route-map的作用是为了在ospf中引入此静态路由。

route-map static permit 10

match tag 10

 

3、在OSPF中重分布名为static的route-map中的静态路由。

router ospf 1

redistribute static subnets route-map static

network 10.1.1.0 0.0.0.255 area 0

 

总部电信路由器:

电信路由器与联通路由器配置基本相同。

1、在IPSec VPN的map中启用RRI并打上tag

crypto map zongbu-dx 1 ipsec-isakmp

set peer 202.102.134.2

set transform-set 12

set reverse-route tag 20 为产生的静态路由打上tag20,便于后面再route-map调用

match address 100

reverse-route 启用RRI

 

2、创建名为static的route-map并匹配tag 20,建立route-map的作用是为了在ospf中引入此静态路由。

route-map static permit 20

set tag 20

 

3、在OSPF中重分布名为static的route-map中的静态路由。

router ospf 1

redistribute static subnets route-map static

network 10.1.1.0 0.0.0.255 area 0

 

总部核心交换机:

核心交换机只需要加入OSPF域中等待静态路由的引入即可。

router ospf 1

network 10.1.1.0 0.0.0.255 area 0

 

2.2使用等价路由+SLA技术

正常数据传输:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

等价路由+SLA技术图示

主用VPN隧道SA因加密点不可达被DPD清除:

多出口如何建立IPSec VPN?两种配置方式实现高可用性

等价路由+SLA技术解决方案图示

相关配置:

核心交换机:

1、 创建两个SLA

ip sla 1

icmp-echo 202.111.34.2 source-interface Vlan1

frequency 5

ip sla schedule 1 life forever start-time now

ip sla 2

icmp-echo 60.111.34.2 source-interface Vlan1

frequency 5

ip sla schedule 2 life forever start-time now

 

2、 track绑定SLA

track 1 ip sla 1 reachability

track 2 ip sla 2 reachability

 

3、 创建等价路由并使用track探测

ip route 0.0.0.0 0.0.0.0 10.1.1.1 60 track 1

ip route 0.0.0.0 0.0.0.0 10.1.1.2 60 track 2

 

知识扩展:由于测试需要这里的等价路由我使用的是基于包的随机负载分担,具体命令如下:

Int vlan 1

ip load-sharing per-packet

默认情况下是基于目标地址的负载分担:

ip load-sharing per-destination

 

以上内容均为本人对所掌握知识的总结归纳所创作的原创文章,希望能给大家的学习过程带来帮助,如有技术理解错误希望能够及时得到大家的指正,大家共同学习,共同进步。

欢迎关注我的头条号,私信交流,学习更多网络技术



Tags:IPSec VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: IPSec VPN  点击:(38)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: IPSec VPN  点击:(504)  评论:(0)  加入收藏
IPSec VPN高可用性解决方案需要用到DPD、RRI、路由、SLA等技术组合使用才能做到简单的高可用性,缺点是使用场景单一且配置繁琐。由于IPSec VPN的局限性,思科基于IPSec VPN和动...【详细内容】
2020-11-12  Tags: IPSec VPN  点击:(854)  评论:(0)  加入收藏
1、 为什么要用到GRE over IPSec、IPSec over GRE或SVTI为什么要使用GRE over IPSec、IPSec over GRE或SVTI,其中最主要的原因是IPSec不支持组播传输,无法实现动态路由之间的...【详细内容】
2020-11-10  Tags: IPSec VPN  点击:(406)  评论:(0)  加入收藏
一、基本原理介绍: IPSec VPN是目前VPN技术中点击率较高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 一.IPSec VPN应用场景 1.IPSec V...【详细内容】
2020-05-15  Tags: IPSec VPN  点击:(106)  评论:(0)  加入收藏
拓扑: 需求,Beijing作为总部,需要与Company进行连接,同时SH部分采用双线介入ISP保证网络高可用性,现需求,在SH1down的情况下,SH2接替SH1的工作保证VPN连接的持续有效性. Be...【详细内容】
2020-05-12  Tags: IPSec VPN  点击:(151)  评论:(0)  加入收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。IPSec VPN应用场景 IPSec VPN的应用场景分为3种:1....【详细内容】
2020-03-19  Tags: IPSec VPN  点击:(386)  评论:(0)  加入收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,今天就来介绍一下IPSec VPN的原理。IPSec VPN的应用场景 Site-to-Site(站点到站点或者网关...【详细内容】
2020-03-10  Tags: IPSec VPN  点击:(1181)  评论:(0)  加入收藏
我们知道VPN相当于是基于Internet上建立了一个虚拟的专用通道,和物理专线还是不一样,数据其实还是通过Internet在传输的,那这样还是不能够保证这些私有的数据传输安全,所以VPN是...【详细内容】
2019-10-17  Tags: IPSec VPN  点击:(139)  评论:(0)  加入收藏
IPSec VPNIPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全...【详细内容】
2019-07-29  Tags: IPSec VPN  点击:(930)  评论:(0)  加入收藏
▌简易百科推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  K佬食古    Tags:shell   点击:(1)  评论:(0)  加入收藏
步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情:[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】
2021-12-24  忆梦如风    Tags:网卡   点击:(9)  评论:(0)  加入收藏
1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解:find –name 主要用于查找某个文件名字,-exec 、xargs可...【详细内容】
2021-12-17  郭主任    Tags:运维   点击:(18)  评论:(0)  加入收藏
对于经常上网的朋友来说,除了手机购物上网,pc端玩网页游戏还是很多小伙伴首选的,但是有时候明明宽带链接上了,打开浏览器却出现上不了网的现象,下面小编要来跟大家说说电脑有网络...【详细内容】
2021-12-16  小白系统    Tags:网页无法打开   点击:(28)  评论:(0)  加入收藏
在访问像github、gitlab这样的外国网站时,很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题,于是把Wifi断掉连上自己手机的热点,结果却还...【详细内容】
2021-12-15  启施技术IT狼叔    Tags:外网   点击:(14)  评论:(0)  加入收藏
网络地址来源:获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】
2021-12-15  韦廷华12    Tags:外网ip   点击:(14)  评论:(0)  加入收藏
准备好软件IPOP、用ENSP模拟一下华为交换机 启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】
2021-12-15  思源Edward    Tags:交换机   点击:(22)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  K佬食古    Tags:netstat   点击:(19)  评论:(0)  加入收藏
什么是滑动窗口?窗口是操作系统开辟的一块缓存空间,发送方在收到接收方ACK应答之前,必须在缓冲区保留已发送的数据,如果按期收到确认应答,数据就可以从缓冲区移除。什么是滑动窗...【详细内容】
2021-12-14  DifferentJava    Tags:TCP   点击:(28)  评论:(0)  加入收藏
概述日常管理华为路由设备过程中,难为会忘记设备登录密码,那么该如何重置设备登录密码吗?本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行 采用console登录...【详细内容】
2021-12-10  onme0    Tags:   点击:(27)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条