技术背景
IPSEC数据流处理
为了学习SVTI技术需要回顾IPSEC数据流的处理过程
假设inside1一台PC源2.2.2.2要访问目的1.1.1.1,数据抵达了路由器,首先检查路由表发现1.1.1.0 via是7.7,3.254
要从2号标识口出去,由于部署了crypto-map数据流会撞击上然后进行重封装,数据流变成密文加上ESP头部和ESP尾部、ESP认证
再从2号口转发出去
通信点和解密点依据预选提议加解密,建立虚拟隧道放行流量到达目的点,没有虚拟隧道接口概念
思科主推主模式,华为主推野蛮模式
IPSEC数据流问题
这样的IPSEC数据流要面临的问题:
- 两者之间没有虚拟隧道接口,不能对站点之间的通信流量进行更好地控制(QOS)
- 两者之间没有虚拟隧道接口,不能让站点的路由协议互通不支持组播传输(如OSPF、RIP等),不利于多种路由协议
- 感兴趣流太多,配置管理麻烦,每个网段需要去匹配对方的网段(不规则的情况,规则的话VLSM技术一条覆盖)
解决办法
基于GRE OVER IPSEC技术
- 部署GRE隧道有了虚拟接口,可以运行路由协议并由GRE封装
- 可以做流量控制
- 感兴趣流只要对站点的隧道流量进行匹配,而不是感兴趣流之间互相匹配,简化了IPSEC步骤
基于VTI技术(分为SVTI和DVTI)
和GRE OVER IPSEC一样,解决标准IPSEC数据流三个问题。不同的是IPSEC无需依赖GRE,直接用IPSEC创建一个虚拟隧道接口
SVTI技术
技术比较
实验内容
1、需求:
- 前提1双出口公网链路前提
- 前提2允许混合厂商部署
- 实现IPSec链路级别高可用
2、预配置
- outiside、primary、secondary默认到internet
- 内部跑OSPF,宣告30.1.1.0/24和2.2.2.2
解题思路:
out-side1配置
第一阶段配置
cry isakmp policy 10
authentication pre-share
cry isakmp key cisco address 10.1.1.10
cry isakmp key cisco address 20.2.1.20
第二阶段配置
cry ipsec transform-set trans esp-3des esp-md5-hamc
cry ipsec profile vpn
set transform-set Trans
配置Tunnel隧道接口
int Tunnel10 #10用于primary沟通
ip add 172.16.1.1 255.255.255.0 #配置隧道接口IP
tun source 202.200.200.1 #隧道源(物理接口)
tun mode ipsec ipv4 #隧道类型,这里区分使用GRE还是VTI
tun des 10.1.1.10 #隧道目的(物理接口)
tun pro ipsec profile vpn #调用IPSec来保护隧道
配置Tunnel隧道接口(高可用部分,同上primary改为secdary,IP变更)
最后配置primary和Secdary的VPN结合动态路由协议OSPF网络收敛实现感兴趣流和线路切换
