××× 2

GRE over IPsec :瀏覽器

安全地GRE方式。安全

GRE ××× 並經過ACL 匹配GRE使用IPsec進行加密服務器

 

Ez××× : C/S架構網絡

IKE pahase1--->Xauth--->IKE phase2--->IPsec架構

並能夠結合AAA 是否Xauthserver決定。ide

用戶但願安全策略經過核心站點的安全設備統一分發和管理。儘可能簡化分支或客戶端的配置。加密

C/S架構,由客戶端向服務端發起×××的鏈接請求,鏈接完成後,服務端將策略push到客戶端。spa

驗證方式:支持pre-share密鑰 ,證書,Xauth802.1x等。orm

支持Ez××× server冗餘。server

經過HSRP 關聯××× 經過倒換 關閉路由協議的水平分割 next-hop self 並使用reserve route

對於遠程辦公 客戶端沒法肯定IP 經過DHCP獲取

經過遠端的服務器路由器指派IP×××的配置

 

Spilt-Tunnel 隧道分離 區分公私網的流量

同一出口,走Internet就明文,走×××就加密

在客戶端鏈接上服務端的路由器後,能夠訪問服務端直連的網絡。但會出現沒法訪問公網

的異常現象。這是因爲客戶端或分支的流量都被定義到了×××中,所以咱們須要分離出訪問公網和訪問私網的流量。因爲客戶端由服務端指派而無固定IP,咱們沒法在客戶端匹配任何流量。所以咱們須要在服務端做一個反向的匹配,使之分離出公私網的流量。這樣咱們就能在訪問遠端的服務端網絡和中間的公網。

 

 

RRI

client私網的報文到達server後,server並不改變報文的源地址

拆開報文的×××封裝後直接轉發。對server所連私網的其餘網絡設備必須有迴向路由,才能將報文發回client

方案 :手工或方向路由注入RRI技術。

  1. 客戶端與服務端相連,且客戶端服務端分別只是獨立的路由器,而不存在其它路由器相連的網絡。

當客戶端與服務端創建鏈接後,會生成一條從客戶端到服務端的直連的靜態路由,一旦斷開,這條靜態路由會馬上消失。

 

  1. 客戶端與服務端相連,且服務端客戶端分別下連多個分支網絡,咱們使用了動態路由協議如ospf,須要將生成的靜態路由重分佈進ospf中,這樣以確保其它路由器學到這條路由,以防止路由黑洞的產生。

 

Ez××× 過程當中,已經同時對內網和外網進行了NAT。所以,咱們不須要額外的對內網進行NAT配置。

 

靜態IPsec Peer :手工創建 可雙方發起鏈接

動態IPsec Peer 配置dynamic crypto map,只能客戶端發起鏈接 (分支辦公室或遠程辦公)

 

Ez×××tunnel 創建:

  1. 自動創建 tunnel connecte auto

  2. 流量觸發

  3. 手動創建 客戶端輸入命令:crypto ipsec client ez*** connect

P2P ××× :

固定的IP 比較容易配置

 

MP××× :

經過HSRP 關聯××× 經過倒換 關閉路由協議的水平分割 next-hop self 並使用reserve route 在故障時,以達到冗餘

 

 

DM××× :

高擴展性

爲了節省IP 須要用到DHCP進行指派 同時使用NHRP

{ MGRE ,NHRP,IPsec ×××}

MGRE multiple GRE 需配置tunnel key ----NBMA網絡下 不能運行組播

NHRP 下一條解析協議

高可用性:

經過HSRP 關聯××× 經過倒換 關閉路由協議的水平分割 next-hop self 並使用reserve route

 

VRRP + DPD (dead peer detection)

DPD 用於 IPsec 鄰居狀態的的檢查

DPD啓動後,長時間接收不到對端的IPsec加密報文時,可以觸發DPD查詢,主動向對端發送請求報文,對IKE peer是否存在進行檢測

DPD解決keepalivepeer非正常下線處理不善的問題。

觸發DPD的條件:發送IPsec加密報文以前和DPD計時器超時後。(超時機制)

爲減少DPD帶來的延時,高可用性解決方案是讓備份IPsec 網關 共享IPsec 的狀態信息

 

SSP state synchronization protocol 狀態同步協議 ---VRRP 上擴展

用於同步VRRP的主備設備的SADB

 

SSP + VRRP 無狀態切換下,無需從新創建IKE SAIPsec SA (兩個網關之上需配置相同的IPsec策略)

SSO 高可用性的基礎

 

 

 

SSL ×××

應用層 客戶端只須要瀏覽器就能夠接入 臨時或移動用戶

應用層 ---- HTTPS

 

 

MPLS ×××

高速Internet服務 商業質量的IP服務

同一網絡可同時部署上萬個×××

QoS 流量工程 帶寬利用 可徹底控制

 

 

 

 

IPsec ×××的應用

能夠經過定義不一樣的感興趣流量來實現不一樣的保護策略,經過××× 拓撲變化和路由的變化來控制報文的流量

 

IPsec + GRE :

IPsec只支持單播 且只支持靜態路由協議

GRE支持組播,廣播和非IP報文,經過GRE處理後,在進行IPsec處理,

IPsec會認爲這些是普通的單播報文。

相關文章
相關標籤/搜索