cisco *** 学习笔记--第三天
IPSec *** 网络穿越和高可用性第一部分IPSec *** 网络穿越问题
1.1 IPSec 流量放行问题(中间设备)
放行加密点之间的ISAKMP和ESP 流量
site1:202.100.1.1
site2:202.100.2.1
access-list out extended permit udp host 202.100.1.1 eq isakmp host 202.100.2.1 eq isakmp
access-list out extended permit esp host 202.100.1.1 host 202.100.2.1
access-group out in interface outside
1.2 IPSec 流量放行问题(加解密设备)
site1:202.100.1.1
site2:61.128.1.1
ip access-list extended inbound
permit upd host 远端ip eq isakmp host 本端ip eq isakmp
permit esp host 远端ip host 本端ip
ip access-list extended outbound
permit esp host 本端ip host 远端ip
interface f0/0
ip access-group inbound in
ip access-group outbond out
1.3 入方向crypto MAP对流量的处理
是否感兴趣流是否加密有无mapactionN/A是有解密是不有drop是不没有forwardN/A是没有解密 1.4 NAT-T 技术介绍
NAT-T技术默认是开启的
NAT对ESP的影响:
在传输模式的ESP,NAT修改了外层IP地址,由于TCP/UDP校验和的计算包含IP源目地址,所以TCP/UDP的
校验和需要更新,但是现在TCP/UDP已经加密,中间路由器无法更新TCP/UDP的校验和,所以TCP的校验和
检查最终会失败
隧道模式的ESP,不受1:1转换的影响(动态一对一,静态一对一),但是不能穿越PAT,因为PAT转换,
多个内部地址复用一个外部地址,并且使用传输层端口来区分不同流量,很遗憾ESP没有传输层端口
NAT-T技术的三个步骤
第一步决定双方是否都支持NAT Traversal
决定双方是否支持NAT-T和判断peers之间是否有NAT存在的任务在IKE第一阶段完成,NAT-T能力探
测使用IKE第一阶段1-2个包交换来实现,双方互相交换NAT-T的vendor ID来表示本端是否支持NAT-T
第二步决定两个peers 之间是否有NAT存在
为了决定peers之间是否有NAT存在,peer会发送一个hash负载(源目IP和端口计算),如果双方计算
的hash和接收的hash值匹配,那么peers之间就没有NAT存在(就采用ESP封装),如果hash值不匹配,
那么peers就需要使用NAT-T技术封装穿越NAT
hash负载也叫NAT-D负载,他在MM模式的3-4个包发送,也在AM的2-3个包发送
第三步决定如何使用UDP封装
第二部分 IPSec ***高可用性
2.1 基本IPSec ***配置
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 202.100.1.1
crypto ipsec transform-set ***trans esp-des esp-md5-hmac
ip access-list extended ***
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto map ***-map 10 ipsec-isakmp
set peer 202.100.1.1
set transform-set ***trans
match address ***
interface f0/0
crypto map ***-map
inside 暂时添加一条路由
ip route 0.0.0.0 0.0.0.0 10.1.1.10
2.2Reverse Route injection ( RRI)
哪台路由器处于active(有IPSEC SA)就会有如下的RRI
static route 1.1.1.0/24 next hop 202.100.1.1
RRI介绍
RRI能够为远端隧道终点保护的网络和主机,在路由表内动态的插入相应的静态路由,这些被保护的主机
和网络也被叫为“remote proxy identities”
基于“remote proxy”的网络和掩码产生每一条路由,这些网络的下一跳为远端隧道终点。使用远端***
路由器为下一跳,能够引导流量被加密
RRI配置(ACTIVE)
crypto map ***-map 10
set reverse-route tag 10(为RRI动态产生的路由打上tag10)
reverse-reoute(启用RRI)
route-map static-to-ospf permit 10
match tag 10 (配置上tag 10的路由)
router ospf 1
redistribute static subnets route-map static-to-ospf (重分布静态路由到身后动态路由协议)
2.4 Dead Peer Detection
***使用一个keepalive机制叫做DPD,来检查远端隧道IPSec路由器的可用性。如果网络发生不寻常的忙碌或者不稳定,我们能够设置一个时间来等待,并且判断远端设备是否“Active”。DPD技术能够和其他高可用性技术配合使用,尽快的清除有问题的IPSec SA,和正常工作的peer建立IPSec隧道
DPD有两种工作模式:
[*] Periodic
[*] on-demand(默认)
DPD Periodic周期性的检测dead peers
crypto isakmp keepalive 10 periodic
周期性频繁的发送信息结果就是通讯双方会加解密更多的数据包,增加设备的资源消耗
DPD on-demand基于流量形式的不同而采取不同的发送方式
crypto isakmp keepalive 10
默认情况下DPD连续5次无响应,会认为链路故障
如果一台路由器发送了出方向的流量,在一定时间内对端路由器没有回送相应的解密流量,这个时候DPD被发送来询问对端状态。
如果一台路由器没有流量要发送,那么它也不会发送DPD信息
default peer
使用“set peer ”命令我们可以配置第一个peer为default peer
如果配置了default peer,下一次连接会直接向default peer发起
如果default peer 没有响应,在“peer list”里边的下一个peer 会成为current peer
idle timers
阻止闲置peer消耗资源
页:
[1]