《IPSec VPN的高可用性技术》.pdf

IPSec VPN 中的高可用性技术 1.DPD 技术 （Dead Peer Detection 问题对等体检测） 1) DPD 技术介绍及适用场合 a. 为了满足企业级运用，都会设计高可用性，为中心站点设置双IPSec VPN 网关，当主用网关出现问题后能快速切 换到备用网关； b. 在没有启用这项技术之前，一旦网关出现问题，分支站点是无法发现这个问题的，他会继续向该问题网关发送加 密的数据包，知道IPSec SA 超时为止，而并不会在这期间切换到备用网关； c. DPD 工作模式： (1) 周期性工作模式： 周期性DPD 会设置一个定时器，路由器会安装该定时器所设置的时间周期性的发送DPD 数据包，除非这 台路由器收到了来自对端的DPD 数据包； 周期性DPD 的优势在于，能够更快地检测到有问题的对等体，但频繁地发送DPD 数据包，消耗了过多的 设备资源和带宽； (2) 按需工作模式： 这是DPD 的默认工作模式，DPD 信息会基于流量的不同而采用不同的发送方式； 如果路由器加密了数据并发送给对等体，但在一定的时间内没有解密任何源自对等体的数据，那么路由 器就会向对方发送 DPD 信息来询问对等体状态；如果一台路由器暂时不准备加密任何数据，那么他也不 会发送DPD 信息，即使这个对等体有问题； 该工作模式的优点在于发送更少的 DPD 信息，更少的占用系统资源和网络带宽，缺点在于检测到问题 IPSec VPN 网关所需的时间更长； 2) 配置 a. 在Cisco 路由器上开启周期性的DPD： Router （config ）# crypto isakmp keepalive 10 periodic b. 在Cisco 路由器上开启按需工作的DPD： Router （config ）# crypto isakmp keepalive 10 1. RRI 技术 （Reverse Route Injection 反向路由注入） 1) RRI 技术相关理论 如下图： 在如上的高可用性IPSec VPN 的网络环境中，正常情况下，分支站点R1 会与中心站点建立IPsec VPN ，分支站点加 密的数据包在主用网关被解密成明文数据包，这些数据包的源 IP 地址为 1.1.1.1，目的地址为5.5.5.5，他们会被主 用网关转发到内部服务器上，当内部服务器收到后，就会产生相应的返回数据包，这些数据包的源IP 地址为5.5.5.5， 目的IP 地址为1.1.1.1，他们必须被发送到192.168.34.3 （主用网关的内部IP 地址），才能通过主用网关与分支站点 之间的 IPSec VPN 隧道会送到分支站点路由器，因此，内部服务器上应该有目的网段为 1.1.1.0/24，下一跳我 192.168.34.3 的路由； 如上图，当主用网关出现问题后，分支站点通过DPD 包发现了有问题的网关，并且快速的切换到了备用网关，此时 从分支站点发出的去往内部服务器的数据将送往备用网关进行解密，然后送往内部服务器，服务器返回数据包，此 时，他如果想将该数据包发送回分支站点路由器，必须通过备用网关，因此，此时内部服务器上应该有去往1.1.1.0/24， 下一跳为192.168.34.4 的路由； 如上所述，在IPSec VPN 高可用性解决方案中，内部服务器上返回分支站点的路由要根据IPSec VPN 的状况而发生 变化，即哪台路由器是当前的IPSecc VPN 的活动网关，下一跳就应该是谁，此时，就可以通过RRI，反向路由注入 的技术来实现； 何为反向路由注入呢？顾名思义就是在产生IPSec SA 的同时，动态的产生一条路由，并且将它注入到路由表中，当 该IPSec SA 消失时，该路由也会随之消失； 2) 相关配置 Router （config ）# crypto map cisco 10 ipsec-isakmp Router （config