IPSEC VPN——高可用性详解(大学生易读版)

已于 2023-10-31 21:57:46 修改
阅读量224 收藏 2
点赞数
文章标签: 网络
于 2023-10-31 21:53:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74338624/article/details/134132654
版权

引言

        IPSEC  VPN想必大家掌握的也和熟悉了,但其的精髓往往不止这些,许多延外的可用性知识也为其解锁了更多功能,更高的可用性。有用于状态监测的LDLE TIME,IKE存活消息,DPD机制,匹配对端功能,以及为内网下发静态路由的RRI,检测内网的EMM,希望大家在学习后能更好的理解IPSEC VPN,以及掌握这些拓展的配置和理解。

相关连接:

IPSEC VPN详解(大学生易读版)icon-default.png?t=N7T8https://mp.csdn.net/mp_blog/creation/editor/134042457IPSEC VPN——AH/ESP详解(大学生易读版)icon-default.png?t=N7T8https://mp.csdn.net/mp_blog/creation/editor/134104226

IPSEC VPN——IKE详解(大学生易读版)icon-default.png?t=N7T8https://mp.csdn.net/mp_blog/creation/editor/134079567

拓扑环境介绍

        本次讲解我将主要依托于这张拓扑表对知识点进行依次讲解

        其中,ISP作为运营商,R1与冗余环境R3,R4构成IPsec VPN对等体,PC1为对端内网,R5和PC2为本端内网,其中由于构建IPSEC的原因,R1,R3,R4都有去往对端的静态路由。

RRI

  简介

       反向路由注入,active设备会自动向自己的路由表注入一条去往对端内网的静态路由,并且将该路由进行重分布给内网网络环境.

  拓扑解释

        对照拓扑分析报文,PC1发送一条去pc2的报文,在R1上触发SA的建立,并在R1的e0/1接口上隧道封装,R3的e0/0上解封装并通过ospf发往对端内网,回包的时候,你可注意到,在R5上无路可走了!!!为什么会出现这种情况了,一般来说我们简化了拓扑,在R3上建立了对等体在其下直连主机了,所以说一般情况下从R3静态路由就出去了,但这里在R3下面还有个内网R5,没有配置对端的静态路由,所以这里RRI技术就满足了在SA(安全联盟)建立的触发下载OSPF区域下发对端内网的静态路由。

  配置

        大致阐述:开启RRI,表明给后面要用的静态路要打上标签,因为重分布要确认的静态路由必须靠路由图决定,用路由图去匹配静态路由上的标签,从而达成重分布静态路由通过路由图锁定标签去确认静态路由。

crypto map mymap 10 ipsec-isakmp       //进入crypto图
reverse-route                          //开启RRI
set reverse-route tag 123              //为后面要获取的静态路由打上标签123(给路由图用)
    

route-map RRI                          //创建路由图 (给后面的路由图用)
match tag 123                          //匹配123标签的路由


router ospf 1                          
redistribute static route-map RRI     //根据路由图所匹配,在ospf区域上去重分布去往对端内网(匹配上才行)的路由

  验证

        没有开启的内网

        

        开启后的内网

        

Default Peer Configure

  简介

        用于匹配对端,首先建立SA(安全联盟)

  拓扑解释

        如图,在冗余环境里面,R1与R3或则R1与R4建立IPsec SA,那么R1首先和哪个对端建立🔗连接了?在这里,Default Peer Configure就起着匹配对端的作用。

  配置

        

crypto map mymap 10 ipsec-isakmp       //进入crypto图

set peer 202.101.23.3 default          //匹配对端为首选建立ipsec

  验证

        通过上述配置可见在冗余环境里面,先和匹配上的对端建立连接

IDLE TIME

  简介

        空时超闲,用来检测sa的活跃性,在一定时间内,没有检测基于该sa的业务流量的往来
则将该sa进行删除

  拓扑解释

        当R1与R3建立IPsec之后,如果长时间没有业务传输,那么会关闭SA建立以节约网络资源。

  配置

R3(config)#crypto ipsec security-association idle-time ?
  <60-86400>  Idle time at which IPSec SAs are deleted          //全局配置

R3(config-crypto-map)#crypto map mymap 10
R3(config-crypto-map)#set security-association idle-time ?
  <60-86400>  Idle time at which IPSec SAs are deleted          //针对于特定的路由图进行配置

  验证

IKE 存活消息

  简介

        双方相互发送keepalive报文,来告知对等体有效性默认情况下,本端发送3个消息,对端如果都没有进行回应的话则认为对等体失效就会删出相对应sa信息

  拓扑解释

        R1向R3发送报文请求验证,正常情况下对端会对其发出的报文进行回包处理,但当对端出问题的时候,无法正常回包,那么在多次验证无果后会删除当前SA

  配置

R1(config)#crypto isakmp keepalive 60 3          //60秒发一个检测报文,共发3次

DPD机制

  注意

        DPD是在IKE存活消息的基础上去进行配置不同的工作模式

  简介

        失效对等体检测机制,默认情况下,连续发送5次消息给对方,对方都没有进行回应的话就认为对等体失效,删出相对应的SA,与IKE存活机制检验不同的是DPD有按需工作模式,在按需工作模式下,会更加节约网络,反之,会更加消耗时间。

  配置

R1(config)#crypto isakmp keepalive 60 ?
  <2-60>     Number of seconds between retries if keepalive fails                 //DPD就是建立在IKE存活机制上的,这里是配置重复次数
  on-demand  When using Dead Peer Detection (DPD), send DPD messages only as
             needed                                                               //按工作需求建立
  periodic   When using Dead Peer Detection (DPD), send periodic DPD messages     //周期性测试

  说明

        1.按需建立的工作环境  ①如果双方之间不存在数据流则不会发送检测报文 ②如果双方之间存在数据流则不会发送检测报文  ③未收到对端回应流量则发送检测报文

        2.周期性工作模式会连续5次发送 DPD 信息。如果5次尝试后依然没有得到远端的确认,会马上清除本地的 IPSec SA 和 ISAKMP SA

        3.周期性工作模式会更节约时间,按需建立的工作环境会更节约资源。

  验证

        注意:要清除去一下内置缓存(do clear cryrto session),因为新配的检验只会对新建立的SA进行检测

EMM

  简介

        用于检测内网状态,具体看比较说比较抽象,直接看拓扑解释

  拓扑解释

        当R1和R3建立SA之后,如果R3的e0/1接口断开,那么正常的业务转发就不能实现,但是R3和R1之间建立的SA(安全联盟)并不会随之断开,所以说这个时候没有正确的协议去进行VPN隧道封装。正确的因该R3的e0/0也随之断开,从而确保SA断开,在下次业务转发的时候来触发正确的SA建立(R4和R1)。

  配置

event manager applet OSPF_down                                                               //开启事件检测

 event syslog pattern " %OSPF-5-ADJCHG: Process 1, Nbr 192.168.123.5 on Ethernet0/1 from FULL to DOWN"   //检测到这样的报文通知,开始执行actiong

 action 1.0 cli command "enable"                                     //action第一步
 action 2.0 cli command "conf t"                                     //action第二步
 action 3.0 cli command "int e0/0"                                   //action第三步
 action 4.0 cli command "shutdown"                                   //action第三步

  验证

尾言

        以及讲解我已简单的叙述去讲解,为了方便大家理解,举例了拓扑并且专门结合拓扑为大家讲解(拓扑解释),望没看懂的兄弟们再退回去看看,不懂的留言在评论区我会依次为大家解答哦,如有错误望大佬纠正,也希望各位在网络学习上天天进步哦!!!加油!!!


​​​​​​​

肥灯儿哥哥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HCIE-Security Day42:IPsec高可用技术
小梁的博客
08-19 1258
为了提高网络可靠性,企业分支一般通过两条或者多条链路与企业总部建立IPSec连接。本节主要考虑如何感知IPSec链路状态并实现流量在多条IPSec之间按需切换,以保证业务的正常运行。ipsec高可靠性涉及可以分为两类,一种是链路冗余,另一种是主备网关备份。其中链路冗余又有多种不同的实现方法。...
一文搞懂IPSEC高可用技术
m0_67804955的博客
04-12 1646
ipsec 使用情况目前仍然比较普遍,总部这边如果为了避免单点故障,就会使用一些高可靠技术,本文对几种常见的高可靠技术进行了实验,对各位需要用到该技术的同事有很好的效果
IPSec VPN的原理与配置
2301_78256093的博客
06-14 8953
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPSec V*N 高可用技术DPD和RRI
weixin_39997345的博客
03-23 1970
IPSec V*N 高可用技术介绍 DPD技术 RRI技术
IPsec VPN 原理与配置
qq_45953122的博客
08-27 1567
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。
IPSec高可用性技术
weixin_30266885的博客
12-14 520
IPSec VPN高可用性技术:①、DPD(Dead Peer Detection)对等体检测 ——旨在检查有问题的IPSec VPN网络,并快速的切换到备用网关②、RRI(Reverse Route Injection)反向路由注入 ——解决高可用性的路由问题 ****************DPD*****...
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
HCL模拟器IPSec VPN实验
05-13
HCL模拟器IPSec VPN实验
wireshark1.12和IPSec详解
03-13
**标题与描述解析** 标题“wireshark1.12和IPSec详解”指出我们要讨论的是网络分析工具...总之,这份资源集提供了旧Wireshark的使用和IPSec配置的实用指南,对于了解这些技术的历史和基本操作具有参考价值。
IPsec vpn ha 配置和截图
07-02
IPsec vpn ha 配置和截图
MarkTool之TCP服务端
Qt学视觉
07-24 376
MarkTool之TCP服务端
【ROS2】演示:为有损网络使用服务质量设置
cxyhjl的博客
07-22 810
目录背景先决条件运行演示命令行选项添加网络流量背景请阅读有关 QoS 设置的文档页面,以获取有关 ROS 2 中可用支持的背景信息。在这个演示中,我们将生成一个发布相机图像的节点和另一个订阅图像并在屏幕上显示图像的节点。然后,我们将模拟它们之间的丢包网络连接,并展示不同的服务质量设置如何处理不良链接。先决条件本教程假设您已安装并运行 ROS 2 和 OpenCV。有关安装说明,请...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 214
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络编程套接字socket
安权_code的博客
07-23 935
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 918
DNS概述。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1097
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
【计算机网络】OSPF单区域实验
最新发布
m0_65787507的博客
07-26 694
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
Hyperledger Fabric 网络体验 - 网络启动过程概览
ALONG的博客
07-25 388
作为第一次Fabric网络体验,网络启动主要包含三个操作,分别是生成配置文件、启动网络和操作网络。执行完指令能看到fabric已经启动。
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档和封装,以方便通过网络传输。IPSec(Internet Protocol Security)是一种网络协议,用于安全地传输数据。当这两种协议结合使用时,可以创建一个虚拟专用网络VPN),用于在两个或多个远程位置之间安全地传输数据。在 GRE over IPSec VPN 中,GRE 协议用于封装传输的数据包,而 IPSec 协议用于提供安全性和保护数据的完整性。这种技术广泛应用于各种企业和组织网络中,以提供安全、高效的远程访问和分支间通信。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值