IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

Cisco IPSec VPN 设计总结

2008年06月24日
/
  1.Site - to - Site、2.Remote Access、3.Site - to - Site+Remote Access IPSec VPN 设计指南:
  1. Site - to - Site IPSec VPN 设计指南:
  
  1.1 全网状设计:
  
  所有设备均支持全网状设计,但全网状设计其可扩展性不好,配置复杂,不推荐超过5~10个Site。
  
  1.2 Hub and Spoke 设计指南:
  
  1.2.1 普通设计要求:
  
  IOS 路由器:可以支持Hub和Spoke之间,以及Spoke和Spoke之间通过Hub的通讯。
  
  PIX:
  1) 若Hub PIX只用一个物理端口与所有Spoke相连,则只能实现各个Spoke与Hub的通讯,Spoke之间的通讯不能实现;
  2) 若要实现Spoke之间的通讯,有两个办法:一)在所有PIX上配置到所有其它PIX的ACL,也就是配置成全网状模式,但这样扩展性不好(不推荐超过5个);二)在Hub PIX上为每个Spoke PIX配置一个独立的物理端口,这样可扩展性仍然不好。
  
  1.2.2 高可用性设计要求:
  
  IOS路由器:可以利用 i) IKE keep-alive 、DPD;ii)IPSec+GRE+动态路由协议;iii)HSRP端口运行IPSec 来实现;首选IPSec+GRE+动态路由协议的方法(若路由器到路由器IPSec方式);若远端设备不支持任何IKE keep-alive或DPD,则可以选用iii)的方法;否则采用i)的方法。
  
  PIX:只能采用IKE keep-alive 或 DPD的方法;若远端设备不支持,或不兼容高可用特性,则无法实现(只能等待IPSec SA的生存时间到后,才可能切换,不推荐修改缺省的时间值)。
  
  1.2.3 增值设计考虑:
  
  1)NAT / PAT: 若在IPSec 建立通道的途中,在SP端有1:1的NAT,则IPSec采用ESP加密和Tunnel封装模式下,可以成功建立IPSec通道;但若存在PAT,则不能。
  IOS路由器和PIX均遵循此规则,但VPN3000可以采用IPSec through NAT的方式成功建立通道;IOS可能会在将来支持此功能。
  
  2)动态路由协议、多媒体应用支持:必须支持组播,要求有GRE或L2TP+IPSec,只有IOS路由器支持,PIX不支持。
  
  3)QoS: 若需运行Voice、Video的IP包,需要足够的QoS,包括在Crypto Engine上的QoS支持,IOS路由器将支持Crypto Engine的LLQ,PIX、VPN3000不支持。V3PN的实现也依赖于IOS设备。
  
  2. Remote Access IPSec VPN 设计指南:
  
  最佳的远程接入IPSec VPN设备是VPN3000,支持IPSec through NAT,Crypto Engine支持多线程,可以同时提供大量的IKE SA建立请求;IOS 和PIX的Crypto Engine均为单线程,IOS会开发NBI(Non Blocking IKE),预计可以每秒支持45个IKE SA的建立。
  
  若某些场合VPN3000不可用,可以推荐在PIX上实现Remote Access VPN接入,因这种场合下,用户对QoS的需求不高,故可以采用PIX。
  
  
  3. Site-to-Site + Remote Access IPSec VPN设计指南:
  
  目前阶段(在思科V3PN第五阶段实现之前):
  
  1)最佳的设计方式是:用IOS实现Site-to-Site,IPSec+GRE,支持所有的特性;用VPN3000实现Remote Access,支持IPSec through NAT,提供远程用户在任何情况下的接入。
  
  2)若VPN3000不可用:用IOS实现Site-to-Site,IPSec+GRE,支持所有的特性;用PIX实现Remote Access,配合Easy VPN提供远程用户的简单配置与方便接入。
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点