××× 2

GRE over IPsec :

安全地GRE方式。

對GRE ××× 並經過ACL 匹配GRE使用IPsec進行加密

 

Ez××× : C/S架構

IKE pahase1--->Xauth--->IKE phase2--->IPsec

並能夠結合AAA 是否Xauth由server決定。

用戶但願安全策略經過核心站點的安全設備統一分發和管理。儘可能簡化分支或客戶端的配置。

C/S架構，由客戶端向服務端發起×××的鏈接請求，鏈接完成後，服務端將策略push到客戶端。

驗證方式：支持pre-share密鑰 ，證書，Xauth，802.1x等。

支持Ez××× server冗餘。

經過HSRP 關聯××× 經過倒換 關閉路由協議的水平分割 和next-hop self 並使用reserve route

對於遠程辦公 客戶端沒法肯定IP 經過DHCP獲取

經過遠端的服務器路由器指派IP和×××的配置

 

Spilt-Tunnel 隧道分離 區分公私網的流量

（同一出口，走Internet就明文，走×××就加密）

在客戶端鏈接上服務端的路由器後，能夠訪問服務端直連的網絡。但會出現沒法訪問公網

的異常現象。這是因爲客戶端或分支的流量都被定義到了×××中，所以咱們須要分離出訪問公網和訪問私網的流量。因爲客戶端由服務端指派而無固定IP，咱們沒法在客戶端匹配任何流量。所以咱們須要在服務端做一個反向的匹配，使之分離出公私網的流量。這樣咱們就能在訪問遠端的服務端網絡和中間的公網。

 

 

RRI：

client私網的報文到達server後，server並不改變報文的源地址，

拆開報文的×××封裝後直接轉發。對server所連私網的其餘網絡設備必須有迴向路由，才能將報文發回client。

方案 ：手工或方向路由注入RRI技術。

1. 客戶端與服務端相連，且客戶端服務端分別只是獨立的路由器，而不存在其它路由器相連的網絡。

當客戶端與服務端創建鏈接後，會生成一條從客戶端到服務端的直連的靜態路由，一旦斷開，這條靜態路由會馬上消失。

 

1. 客戶端與服務端相連，且服務端客戶端分別下連多個分支網絡，咱們使用了動態路由協議如ospf，須要將生成的靜態路由重分佈進ospf中，這樣以確保其它路由器學到這條路由，以防止路由黑洞的產生。

 

Ez××× 過程當中，已經同時對內網和外網進行了NAT。所以，咱們不須要額外的對內網進行NAT配置。

 

靜態IPsec Peer ：手工創建 可雙方發起鏈接

動態IPsec Peer 配置dynamic crypto map，只能客戶端發起鏈接 （分支辦公室或遠程辦公）

 

Ez×××的tunnel 創建：

1. 自動創建 tunnel connecte auto ；

2. 流量觸發

3. 手動創建 客戶端輸入命令：crypto ipsec client ez*** connect

P2P ××× :

固定的IP 比較容易配置

 

MP××× :

經過HSRP 關聯××× 經過倒換 關閉路由協議的水平分割 和next-hop self 並使用reserve route 在故障時，以達到冗餘

 

 

DM××× :

高擴展性

爲了節省IP 須要用到DHCP進行指派 同時使用NHRP

{ MGRE ,NHRP,IPsec ×××}

MGRE ： multiple GRE 需配置tunnel key ----NBMA網絡下 不能運行組播

NHRP ： 下一條解析協議

高可用性：

經過HSRP 關聯××× 經過倒換 關閉路由協議的水平分割 和next-hop self 並使用reserve route

 

VRRP + DPD (dead peer detection)

DPD 用於 IPsec 鄰居狀態的的檢查

DPD啓動後，長時間接收不到對端的IPsec加密報文時，可以觸發DPD查詢，主動向對端發送請求報文，對IKE peer是否存在進行檢測

DPD解決keepalive對peer非正常下線處理不善的問題。

觸發DPD的條件：發送IPsec加密報文以前和DPD計時器超時後。（超時機制）

爲減少DPD帶來的延時，高可用性解決方案是讓備份IPsec 網關 共享IPsec 的狀態信息

 

SSP state synchronization protocol 狀態同步協議 ---VRRP 上擴展

用於同步VRRP的主備設備的SADB

 

SSP + VRRP 無狀態切換下，無需從新創建IKE SA和IPsec SA （兩個網關之上需配置相同的IPsec策略）

SSO 高可用性的基礎

 

 

 

SSL ×××

應用層 客戶端只須要瀏覽器就能夠接入 臨時或移動用戶

應用層 ---- HTTPS

 

 

MPLS ×××

高速Internet服務 商業質量的IP服務

同一網絡可同時部署上萬個×××組

QoS 流量工程 帶寬利用 可徹底控制

 

 

 

 

IPsec ×××的應用 ：

能夠經過定義不一樣的感興趣流量來實現不一樣的保護策略，經過××× 拓撲變化和路由的變化來控制報文的流量

 

IPsec + GRE :

IPsec只支持單播 且只支持靜態路由協議

而GRE支持組播，廣播和非IP報文，經過GRE處理後，在進行IPsec處理，

IPsec會認爲這些是普通的單播報文。