IPSec高可用性介绍之HSRP+RRI.docx

技术简介： 对于公司的VPN网络来说，需要时刻为远程站点或用户提供连接服务，但是由于早期的基于对等体失效时间的方式等待时间过长，因此需要使用更快的切换方式，今天我们看一下HSRP+RRI这种方式的IPSec VPN网关冗余技术。 第一次IPSec冗余特性是在IOS12.1（9）E和12.2（8）T中出现的，使用HSRP和RRI协同工作来提供IPSec冗余，使用这种冗余特性，如果一台设备失效了，冗余的路由器可以接替它的角色然后重新建立失效的连接，但是，在IPSec重新连接过程中用户的数据会丢失。 RRI一开始就是为了给远程访问解决方案提供冗余而开发的，当然在Cisco路由器上，HSRP也能够为lan-to-lan会话提供冗余，HSRP能够为static和dynamic crypto maps配置，当和dynamic crypto map使用时，路由器将自动为远程主机或子网创建一条静态路由，当和static crypto maps使用时，路由器会为crypto ACL列出的每一个目的地都创建一条静态路由。当RRI静态路由创建时，这些路由能够自动重新发布进任何内部路由协议。当使用static crypto maps时，RRI静态路由会出现，即使没有IPSec会话建立。拓扑实例：RTRA配置：RTRA（config）# crypto isakmp policy 10/阶段1策略配置（加密Hash，算法，认证，DH）RTRA（config-isakmp）# encryption aesRTRA（config-isakmp）# hash md5RTRA（config-isakmp）# authentication pre-shareRTRA（config-isakmp）# group 2RTRA（config-isakmp）# exitRTRA（config）# crypto isakmp key cisco123 address/定义对等体认证密钥 0.0.0.0 0.0.0.0 no-xauthRTRA（config）# crypto isakmp keepalive 10/打开keepalive功能RTRA（config）# crypto isakmp nat keepalive 20/NAT透传检测RTRA（config）# crypto ipsec transform-set RTRtrans esp-aes esp-sha-hmac/阶段2策略RTRA（cfg-crypto-trans）# exitRTRA（config）# crypto dynamic-map dynmap 10RTRA（config-crypto-map）# set transform-set RTRtransRTRA（config-crypto-map）# reverse-route /启用RRIRTRA（config-crypto-map）# exitRTRA（config）# crypto map statmap 65000 ipsec-isakmp dynamic dynmapRTRA（config-crypto-map）# exitRTRA（config）# router ospf 1RTRA（config-router）# redistribute static subnetsRTRA（config-router）# network 192.168.1.0 0.0.0.255 area 0RTRA（config-router）# exitRTRA（config）# ip access-list extended perimeterRTRA（config-ext-nacl）# permit udp any host 192.1.1.251 eq 500RTRA（config-ext-nacl）# permit esp any host 192.1.1.251RTRA（config-ext-nacl）# permit udp any host 192.1.1.251 eq 4500RTRA（config-ext-nacl）# permit udp host 192.1.1.252 eq 1985 host 224.0.0.2 eq 1985RTRA（config-ext-nacl）# deny ip any anyRTRA（config）# interface Ethernet0/0/接口下HSRP配置同时和加密映射进行状态绑定RTRA（config-if）# description Connection to InternetRTRA（config-if）# ip address 192.1.1.253 255.255.255.0RTRA（config-if）# ip access-group perimeter inRTRA（config-if）# standby ip 192.1.1.251RTRA（config-if）# standby timers 1 4RTRA（config-if）# standby name RRIRTRA（config-if）# standby track Ethernet1/0RTRA（config-if）# crypto map statmap redundancy RRI/状态绑定RTRA（config-if）# exitRTRA（config）# interface Ethernet1/0RTRA（config-if）# description Connection to Internal networkRTRA（config-if）# ip address 192.168.1.253 255.255.255.0RTRA（config-if）# no shutdownRTRA（config-if）# exitRTRC配置：（解释同上）RTRC（config# crypto isakmp policy 10RTRC（config-isakmp）# encryption aes 128RTRC（config-isakmp）# hash md5RTRC（config-isakmp）# authentication pre-shareRTRC（config-isakmp）# group 2RTRC（config-isakmp）# exitRTRC（config# crypto isakmp key cisco123 address 192.1.1.251 no-xauthRTRC（config# crypto isakmp keepalive 10RTRC（config# crypto isakmp nat keepalive 20RTRC（config# ip access-list extended cryptoACLRTRC（config-ext-nacl）# permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255RTRC（config-ext-nacl）# exitRTRC（config# crypto ipsec transform-set RTRtrans esp-aes esp-sha-hmacRTRC（cfg-crypto-trans）# exitRTRC（config# crypto map statmap 10 ipsec-isakmpRTRC（config-crypto-map）# set peer 192.1.1.251RTRC（config-crypto-map）# set transform-set RTRtransRTRC（config-crypto-map）# match address cryptoACLRTRC（config-crypto-map）# reverse-routeRTRC（config-crypto-map）# exitRTRC（config# interface Ethernet0RTRC（config-if）# description Internet ConnectionRTRC（config-if）# ip address 193.1.1.17 255.255.255.0RTRC（config-if）# crypto map statmapRTRC（config-if）# no shutdownRTRC（config-if）# exitRTRC（config# interface FastEthernet0RTRC（config-if）# ip address 192.168.2.1 255.255.255.0RTRC（config-if）# no shutdown检测路由表：RTRA# show ip routeoutput omittedC 192.1.1.0/24 is directly connected， Ethernet0/0C 192.168.1.0/24 is directly connected， Ethernet1/0S 192.168.2.0/24 1/0 via 192.1.1.17/RRI动态生成RTRD路由表：RTRD# show ip routeoutput omittedC 192.168.1.0/24 is directly connected， Ethernet0O E2 192.168.2.0/24 110/20 via 192.168.1.253， 00：43：31， Ethernet0/RRI生成的路由被重发布到内部网络RD上技术特点：