《IPSec高可用性介绍之HSRP+RRI》由会员分享,可在线阅读,更多相关《IPSec高可用性介绍之HSRP+RRI(4页珍藏版)》请在金锄头文库上搜索。
1、技术简介: 对于公司的VPN网络来说,需要时刻为远程站点或用户提供连接服务,但是由于早期的基于对等体失效时间的方式等待时间过长,因此需要使用更快的切换方式,今天我们看一下HSRP+RRI这种方式的IPSec VPN网关冗余技术。 第一次IPSec冗余特性是在IOS12.1(9)E和12.2(8)T中出现的,使用HSRP和RRI协同工作来提供IPSec冗余,使用这种冗余特性,如果一台设备失效了,冗余的路由器可以接替它的角色然后重新建立失效的连接,但是,在IPSec重新连接过程中用户的数据会丢失。 RRI一开始就是为了给远程访问解决方案提供冗余而开发的,当然在Cisco路由器上,HSRP也能够为l
2、an-to-lan会话提供冗余,HSRP能够为static和dynamic crypto maps配置,当和dynamic crypto map使用时,路由器将自动为远程主机或子网创建一条静态路由,当和static crypto maps使用时,路由器会为crypto ACL列出的每一个目的地都创建一条静态路由。当RRI静态路由创建时,这些路由能够自动重新发布进任何内部路由协议。当使用static crypto maps时,RRI静态路由会出现,即使没有IPSec会话建立。拓扑实例:RTRA配置:RTRA(config)# crypto isakmp policy 10/阶段1策略配置(加密H
3、ash,算法,认证,DH)RTRA(config-isakmp)# encryption aesRTRA(config-isakmp)# hash md5RTRA(config-isakmp)# authentication pre-shareRTRA(config-isakmp)# group 2RTRA(config-isakmp)# exitRTRA(config)# crypto isakmp key cisco123 address/定义对等体认证密钥 0.0.0.0 0.0.0.0 no-xauthRTRA(config)# crypto isakmp keepalive 10/打
4、开keepalive功能RTRA(config)# crypto isakmp nat keepalive 20/NAT透传检测RTRA(config)# crypto ipsec transform-set RTRtrans esp-aes esp-sha-hmac/阶段2策略RTRA(cfg-crypto-trans)# exitRTRA(config)# crypto dynamic-map dynmap 10RTRA(config-crypto-map)# set transform-set RTRtransRTRA(config-crypto-map)# reverse-route
5、/启用RRIRTRA(config-crypto-map)# exitRTRA(config)# crypto map statmap 65000 ipsec-isakmp dynamic dynmapRTRA(config-crypto-map)# exitRTRA(config)# router ospf 1RTRA(config-router)# redistribute static subnetsRTRA(config-router)# network 192.168.1.0 0.0.0.255 area 0RTRA(config-router)# exitRTRA(config)#
6、 ip access-list extended perimeterRTRA(config-ext-nacl)# permit udp any host 192.1.1.251 eq 500RTRA(config-ext-nacl)# permit esp any host 192.1.1.251RTRA(config-ext-nacl)# permit udp any host 192.1.1.251 eq 4500RTRA(config-ext-nacl)# permit udp host 192.1.1.252 eq 1985 host 224.0.0.2 eq 1985RTRA(con
7、fig-ext-nacl)# deny ip any anyRTRA(config)# interface Ethernet0/0/接口下HSRP配置同时和加密映射进行状态绑定RTRA(config-if)# description Connection to InternetRTRA(config-if)# ip address 192.1.1.253 255.255.255.0RTRA(config-if)# ip access-group perimeter inRTRA(config-if)# standby ip 192.1.1.251RTRA(config-if)# standby
8、 timers 1 4RTRA(config-if)# standby name RRIRTRA(config-if)# standby track Ethernet1/0RTRA(config-if)# crypto map statmap redundancy RRI/状态绑定RTRA(config-if)# exitRTRA(config)# interface Ethernet1/0RTRA(config-if)# description Connection to Internal networkRTRA(config-if)# ip address 192.168.1.253 25
9、5.255.255.0RTRA(config-if)# no shutdownRTRA(config-if)# exitRTRC配置:(解释同上)RTRC(config# crypto isakmp policy 10RTRC(config-isakmp)# encryption aes 128RTRC(config-isakmp)# hash md5RTRC(config-isakmp)# authentication pre-shareRTRC(config-isakmp)# group 2RTRC(config-isakmp)# exitRTRC(config# crypto isakm
10、p key cisco123 address 192.1.1.251 no-xauthRTRC(config# crypto isakmp keepalive 10RTRC(config# crypto isakmp nat keepalive 20RTRC(config# ip access-list extended cryptoACLRTRC(config-ext-nacl)# permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255RTRC(config-ext-nacl)# exitRTRC(config# crypto ipsec
11、transform-set RTRtrans esp-aes esp-sha-hmacRTRC(cfg-crypto-trans)# exitRTRC(config# crypto map statmap 10 ipsec-isakmpRTRC(config-crypto-map)# set peer 192.1.1.251RTRC(config-crypto-map)# set transform-set RTRtransRTRC(config-crypto-map)# match address cryptoACLRTRC(config-crypto-map)# reverse-route
12、RTRC(config-crypto-map)# exitRTRC(config# interface Ethernet0RTRC(config-if)# description Internet ConnectionRTRC(config-if)# ip address 193.1.1.17 255.255.255.0RTRC(config-if)# crypto map statmapRTRC(config-if)# no shutdownRTRC(config-if)# exitRTRC(config# interface FastEthernet0RTRC(config-if)# ip
13、 address 192.168.2.1 255.255.255.0RTRC(config-if)# no shutdown检测路由表:RTRA# show ip routeoutput omittedC 192.1.1.0/24 is directly connected, Ethernet0/0C 192.168.1.0/24 is directly connected, Ethernet1/0S 192.168.2.0/24 1/0 via 192.1.1.17/RRI动态生成RTRD路由表:RTRD# show ip routeoutput omittedC 192.168.1.0/2
14、4 is directly connected, Ethernet0O E2 192.168.2.0/24 110/20 via 192.168.1.253, 00:43:31, Ethernet0/RRI生成的路由被重发布到内部网络RD上技术特点:如果出现HSRP的内部网络接口没有问题,但是外部网络接口或链路出现问题,这样对于内部路由器来说,Active状态是网关,但是由于IPSec连接其实已经不存在了,因此会出现类似黑洞的效果,一直要等到对等体超时,重新进行协商后才能够恢复连接,时间过长,因此如果使用了RRI+HSRP,那么具有IPsec连接的边界路由器才会产生静态路由,那么由于使用了重发布,因此内部路由器就能够准确的得知激活网关的位置,达到了较快的切换速度。
