VPN配置多链路分享功能
发布时间:2022-01-05 10:59:05 所属栏目:安全 来源:互联网
导读:为了提高网络的可靠性,通常企业网关都会有两条出口链路到ISP,它们互为备份或者负载分担的关系。当在两个出接口配置了IPSec并采用相同的保护方法时,那么就需要IPSec业务能够平滑切换。但非共享状态的两个出接口会分别协商生成IPSec SA,这样在主备链路切换
|
为了提高网络的可靠性,通常企业网关都会有两条出口链路到ISP,它们互为备份或者负载分担的关系。当在两个出接口配置了IPSec并采用相同的保护方法时,那么就需要IPSec业务能够平滑切换。但非共享状态的两个出接口会分别协商生成IPSec SA,这样在主备链路切换时,需要消耗时间重新进行IKE协商生成IPSec SA,会导致数据流的暂时中断。 此时,通过配置安全策略组为多链路共享安全策略组,设备使用逻辑的Loop Back接口与对端设备建立IPSec隧道(一个Loop Back接口就代表了本地设备本身),可以实现主备链路切换时IPSec业务不中断,应用IPSec的两个物理接口共同使用一个多链路共享的IPSec SA。当这些物理接口对应的链路切换时,如果Loop Back接口的状态没有变化,那么不会删除IPSec SA,也不需要重新触发IKE协商,直接使用相同的IPSec SA继续保护流量。分支机构网关Router A的报文通过两条出口链路到达总部网关Router B。如某条出口链路故障,Router A和Router B间的IPSec通信不受影响,从而提高了网络的可靠性。 配置多链路共享功能的方法很简单,只需在系统视图下通过ipsec policy policy-name shared local-interface loopback interface-number命令设置安全策略组对应的IPSec隧道为多条链路共享即可。命令中的参数说明如下。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐