建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
温馨提示

抱歉,您需设置社区昵称后才能参与社区互动!

前往修改
我再想想

浙江经贸学院

话题 : 21 成员 : 65

加入HCSD

IPSec的高可用技术[设备可靠性&链路可靠性]

XueMian 2020/10/31 481

IPSec可靠性可分为设备可靠性和链路可靠性。设备可靠性主要是双机热备。    

1、双链路主备备份:两条隧道,主备方式

2、双链路隧道化备份:一条IPSec隧道,总部Tunnel口,分支物理接口

3、双设备备份:建立一条隧道,总部使用VRRP

image.png

IPSec主备链路备份需要分别在两个物理接口上应用IPSec策略,配置复杂,且需要通过IP-LINK跟踪路由状态,一边正确地进行IPSec隧道切换。那能否不直接在物理接口上应用IPSec策略呢?


当然是可以的。方法就是讲IPSec策略应用到一个虚拟的Tunnel接口上,由于策略不是应用到实际物理接口,那么IPSec并不关心有几条链路可以到达对端,也不关心链路是否出现故障,只要


对端路由可达,IPSec通信就不会中断。这种提升可靠性的方法叫做IPSec隧道化链路备份。总部采用双链路和分支机构通信,成功避免隧道切换的问题。

image.png

  1. FW_A收到明文IP报文后,将收到的IP明文送到转发模块进行处理

  2. 转发模块查找路由,发现路由出接口为Tunnel接口。转发模块依据路由查询结果将IP明文发送到tunnel接口

  3. 由于Tunnel接口应用了IPSec策略,报文在tunnel接口上进行IPSec封装。封装后的IPSec报文的源目IP地址分别为两端Tunnel口的IP地址

  4. 封装后的IPSec报文被送到转发模块进行处理。转发模块再次对密文IPSec报文查找路由,发现路由下一跳为物理接口

  5. 转发模块根据路由的优先级等选择合适的路由,将IPSec报文从设备的某个物理接口发送到FW_B

  6. FW_B收到密文IPSec报文后送到转发模块进行处理

  7. 转发模块识别到此IP密文的目的地址为本设备的Tunnel接口的IP地址且IP协议号为AH或ESP,将IP密文发送到Tunnel接口

  8. IPSec报文在Tunnel接口上进行解封装

  9. 解封装后的明文IP报文再次送到转发模块进行处理。转发模块再次对明文查找路由

  10. 转发模块通过查找路由,将IP明文从实际物理接口转发出去


双设备备份


  1. 总部FWA和B建立VRRP绑定在主接口上,IKE PEER配置tunnel local x.x.x.x为VRRP虚拟IP地址

  2. 在FWA\B出接口各调用ipsec policy

  3. 在分支的接口引用ipsec policy,ike-peer的remote-address指向总部VRRP虚拟IP地址


//总结


与在物理接口上直接建立IPSec隧道相比,基于Tunnel接口的IPSec隧道建立过程有两个不同:


1.在Tunnel接口上完成对IPSec封装和解封装 2.多了一步查找路由的过程

主备链路备份 隧道化链路备份
配置复杂 配置简单
IPSec切换需重协商 不需要隧道切换
双链路场景 双链路或多链路场景
无限制 需要确保链路切换后 上游网络能正常转发IPSec报文


回复 (0)

没有评论
上划加载中
标签
您还可以添加5个标签
  • 没有搜索到和“关键字”相关的标签
  • 云产品
  • 解决方案
  • 技术领域
  • 通用技术
  • 平台功能
取消

XueMian

角色:校园大使

话题:13

发消息
更新于2020年10月31日 15:44:02 4810
直达本楼层的链接
楼主
倒序浏览 只看该作者
IPSec的高可用技术[设备可靠性&链路可靠性]

IPSec可靠性可分为设备可靠性和链路可靠性。设备可靠性主要是双机热备。    

1、双链路主备备份:两条隧道,主备方式

2、双链路隧道化备份:一条IPSec隧道,总部Tunnel口,分支物理接口

3、双设备备份:建立一条隧道,总部使用VRRP

image.png

IPSec主备链路备份需要分别在两个物理接口上应用IPSec策略,配置复杂,且需要通过IP-LINK跟踪路由状态,一边正确地进行IPSec隧道切换。那能否不直接在物理接口上应用IPSec策略呢?


当然是可以的。方法就是讲IPSec策略应用到一个虚拟的Tunnel接口上,由于策略不是应用到实际物理接口,那么IPSec并不关心有几条链路可以到达对端,也不关心链路是否出现故障,只要


对端路由可达,IPSec通信就不会中断。这种提升可靠性的方法叫做IPSec隧道化链路备份。总部采用双链路和分支机构通信,成功避免隧道切换的问题。

image.png

  1. FW_A收到明文IP报文后,将收到的IP明文送到转发模块进行处理

  2. 转发模块查找路由,发现路由出接口为Tunnel接口。转发模块依据路由查询结果将IP明文发送到tunnel接口

  3. 由于Tunnel接口应用了IPSec策略,报文在tunnel接口上进行IPSec封装。封装后的IPSec报文的源目IP地址分别为两端Tunnel口的IP地址

  4. 封装后的IPSec报文被送到转发模块进行处理。转发模块再次对密文IPSec报文查找路由,发现路由下一跳为物理接口

  5. 转发模块根据路由的优先级等选择合适的路由,将IPSec报文从设备的某个物理接口发送到FW_B

  6. FW_B收到密文IPSec报文后送到转发模块进行处理

  7. 转发模块识别到此IP密文的目的地址为本设备的Tunnel接口的IP地址且IP协议号为AH或ESP,将IP密文发送到Tunnel接口

  8. IPSec报文在Tunnel接口上进行解封装

  9. 解封装后的明文IP报文再次送到转发模块进行处理。转发模块再次对明文查找路由

  10. 转发模块通过查找路由,将IP明文从实际物理接口转发出去


双设备备份


  1. 总部FWA和B建立VRRP绑定在主接口上,IKE PEER配置tunnel local x.x.x.x为VRRP虚拟IP地址

  2. 在FWA\B出接口各调用ipsec policy

  3. 在分支的接口引用ipsec policy,ike-peer的remote-address指向总部VRRP虚拟IP地址


//总结


与在物理接口上直接建立IPSec隧道相比,基于Tunnel接口的IPSec隧道建立过程有两个不同:


1.在Tunnel接口上完成对IPSec封装和解封装 2.多了一步查找路由的过程

主备链路备份 隧道化链路备份
配置复杂 配置简单
IPSec切换需重协商 不需要隧道切换
双链路场景 双链路或多链路场景
无限制 需要确保链路切换后 上游网络能正常转发IPSec报文


点赞1 举报
分享

分享文章到朋友圈

分享文章到微博

游客

您需要登录后才可以回帖 登录 | 立即注册