笔记 -有关串行延迟和其他常见故障排除和设计问题与VoIP的更多信息,请参见上CCO以下链接:
故障排除服务质量波涛汹涌的声音问题:http://www.cisco.com/en/US/partner/tech/tk652/tk698/technologies_tech_note09186a00800f6cf8.shtml
递归路由上的IPSec VPN的影响
递归路由通常发生时,路由器试图通过同一路径,它是用来学习通过给定的RP该路由安装路径。因为固有的最RP操作多播的更新不能被加密交换,递归路由的效果在IPsec的+ GRE解决方案,其中GRE用于封装RP流量之前的IPsec(ESP或AH)封装最常见的。我们将在所列的IPsec + GRE场景探索递归路由情况图4-19。
递归路由和IPsec + GRE部署
事件的下列顺序描述了递归路由方案中所示的的IPsec + GRE部署的影响图4-19:
Router_A和Router_B在路由表中查找GRE隧道的目的接口,从而建立GRE隧道。他们都在路由表中找到相应的隧道目的接口的路由,并使用静态配置的缺省路由建立相应的GRE隧道(例4-35,第30行)。
与Router_A和Router_B被配置为使用加密ESP相互之间的所有GRE流量。因此,在整个GRE隧道的所有交流会保密。
Router_A和Router_B将所有直连的路由注入到它们的路由协议中,即EIGRP (Enhanced Interior Gateway routing protocol) AS1(例4-35,第24行)。其中包括loopback192接口和GRE tunnel接口。
与Router_A和Router_B建立跨GRE隧道的EIGRP邻接,并开始相互交换路由更新。
与Router_A和Router_B通过EIGRP 1学习则安装在GRE隧道第1步递归静态路由,并试图在路由表中安装路径。EIGRP学会GRE隧道目的地比在上面的步骤1中使用的默认更具体的路由。
一旦与Router_A和Router_B被指示学习对方的GRE隧道接口的隧道目的地(而不是通过在步骤1中的静态缺省路由),他们确定该行为是递归的,从路由表中清除路由。这使GRE隧道和EIGRP邻居都去了。
当一个递归路由情况的IPsec + GRE情况下发生,IOS CLI将消息写入到控制台,指示故障。其他症状指示递归路由故障包括整个GRE隧道,也被写入到IOS CLI RP邻接的损失。实施例4-35示出了递归路由中所描述的配置错误图4-19和上面的步骤1-6。IPSec + GRE情景中递归路由的症状如实施例4-36所示。
例如4-35配置错误通往递归路由(在拓扑图4-19)
1接口Loopback192 2 IP地址192.168.1.1 255.255.255.255 3!4接口Tunnel192 5的IP地址192.168.0.1 255.255.255.252 6隧道源Loopback192 7隧道目的地192.168.2.1 8!9!10接口接口Serial1 / 0 11 IP地址200.0.0.1 255.255.255.252 12封装帧中继串行13重启延迟0 14帧中继接口DLCI 102 15帧中继LMI型ANSI 16!17!18路由器EIGRP 1个19重分发20连接网络192.168.0.0 21默认度量1500 100 128 128 4700 22无自动摘要23无类别IP 24 IP路由0.0.0.0 0.0.0.0 200.0.0.2
示例4-36提供Router_A上的诊断输出,该诊断输出确认GRE隧道和EIGRP邻接故障是由于上述递归路由行为。线10和18显示了在发生递归路由之前用于构建GRE隧道的静态路线的存在。然而,示例4-36的第18行示出了通过隧道界面本身(192.168.0.2的下一跳)递归地学习了隧道目的地(192.168.2.1)的递归学习的EIGRP路由。由于此路由更具体于默认路由,因此EIGRP将其安装在路由表中,导致隧道由于递归路由而失败(如实施例4-36,第20和第21行所确认)。一旦隧道失败,EIGRP就会撕下邻接,如实施例4-36,第22行所示。
实施例4-36递归路由症状和诊断输出在Cisco IOS
1#而Router_A显示IP路线2个代码:C - 连接,S - 静态,R - RIP中,M - 移动,B - BGP 3 d - EIGRP,EX - EIGRP外部,-O - OSPF,IA - OSPF间区域4 N1 - OSPF NSSA外部类型1,N2 - OSPF NSSA外部类型2 5 E1 - OSPF外部类型1,E2 - OSPF外部类型2 6 I - IS-IS,苏 - IS-IS摘要,L1 - IS-IS级别1,L2 - IS-IS级-2 7个IA - IS-IS间区域,* - 候选人默认,U - 每个用户的静态路由8点 - ODR,P - 定期下载的静态路由9 10网关不得已的是200.0.0.2到网络0.0.0.0 1112 200.0.0.0/30划分为子网,1个子网的13 C 200.0.0.0被直接连接,接口Ethernet0 / 0 14 192.168.0.0/30划分为子网,1个子网15℃192.168.0.0直接连接,Tunnel192 16 192.168.1.0/32划分为子网,2个子网-17℃192.168.1.1直接连接,Loopback192 18 d 192.168.2.1 [297372416分之90]通过192.168.0.2,0时00分04秒,18 Tunnel192 S * 0.0.0.0/0 [1/0]经由200.0.0.2 19而Router_A#20 * 15年5月8日:42:10.439:%TUN -5- RECURDOWN:Tunnel192暂时停用由于递归路由21*May 8 15:42:11.439: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel192, changed state to down 22 *May 8 15:42:11.447: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.0.2 (Tunnel192) is down: interface down
为了防止这种情况的发生,Router_A的管理员需要确保到达GRE隧道目的地址的路由不是通过GRE隧道学习到的。这可以通过使用路由图或分发列表排除用于建立GRE隧道的路由,使其不被重分发到EIGRP中来实现。例4-37提供了一个如何使用EIGRP路由图来实现这一点的示例。
例如4-37控制EIGRP路由重新分配与路由图和ACL
访问列表1否认192.168.1.0!路由映射没有递归许可证10匹配的IP地址1
实施例4-38提供了从使用分发列表中EIGRP再分配不含路线的替代方案。在该特定示例的上下文中,实施例4-38中的配置将完成同样的任务与实施例4-37在路由映射配置。
例如4-38控制EIGRP路由重新分配与分发列表
EIGRP的路由器重新发布1连接的网络192.168.0.0默认度量1500 100 128 128 4700分发列表1中没有自动汇总!访问列表1否认192.168.1.0访问列表1个的任何许可证
例4-39展示了在EIGRP路由协议过程中应用适当的路由图和ACL组合后,EIGRP和GRE隧道重建的示例重新分配连接路由映射[路由映射名称]命令。
例4-39排除通过路由图和acl重新分配递归学习的路由时,重建GRE隧道和EIGRP邻接关系
路由器EIGRP 1重新连接网络192.168.0.0到默认度量1500 100 128 128 4700没有自动摘要!!CRVPN-3600-A#CONF T输入配置命令,每行一个。以CNTL / Z结尾。CRVPN-3600-A(CONFIG)#Router EIGRP 1 CRVPN-3600-A(Config-Router)#redistRibute Connected Route-Map No-Refursive * 5月8日:27:44.191:%双5-Nbrchange:IP-EIGRP(0)1:邻居192.168.0.2(Tunnel192)提出:新邻接
概括
在本章中,我们已经介绍的与IPsec VPN部署的常见问题的几个不同的更广的领域。常见的IPsec VPN的问题第一个方面,我们讨论涉及ISAKMP和IPsec本身的结构中,包括
IKE SA提议不匹配
艾克身份验证错误
IPsec SA Proposal不匹配
加密ACL不匹配
当使用IKE,可以发生任何额外的安全联盟的协商之前IKE阶段1 SA必须建立。第一项任务是加密的端点必须做到建立一个IKE SA是IKE SA提案协议。我们在每个必须商定了一个成功的IKE SA提议符合下列属性的背景下讨论IKE SA提议的不匹配:
IKE认证方法(PSK来,RSA加密或RSA签名)
IKE加密密码(DES、3DES、AES)
IKE哈希算法(MD5,SHA1)
Diffie-Hellman组模二(1,2,或5)
IKE SA超时时间(60-86400秒)
IKE SA安全提议通过协议后,必须对IKE SA进行认证。在本章中,我们探讨了IKE SA提议故障排除和IKE SA认证故障排除的常见技术,分别使用了IKE pks、RSA加密和RSA签名这三种IKE SA认证方法。本章提供的方法可用于诊断IKE SA建立和验证过程中存在的问题,并在进一步研究IPsec SA建立过程中可能存在的问题之前验证IKE SA的存在。
除非手工定义IPsec安全联盟,否则必须在加密终端上存在IKE SA才能建立IPsec安全联盟。一旦确认了IKE SA的存在,就应该采取措施来确认两个加密端点已经同意了IPsec SA的提议。在本章中,我们讨论了由于下列属性不匹配而导致的IPsec SA失败的技术:
用于IPSec隧道终止的IP地址
对称的IPsec转换到加密保护的通信使用IPsec SA已经协商后,
加密交换路径中受保护流量的范围
当每个先前属性匹配时,可以形成IPsec SA。以上提供了验证IPSec SA建立的技术,以确认IPSec SA的存在以及由两个加密端点同意的IPSec SA提案的详细信息。
除了深入讨论IPsec VPN部署的配置问题外,我们还介绍和讨论了IPsec VPN部署的各种架构问题。与配置问题不同,在将IPsec与大型系统架构中常见的不同技术集成时,体系结构问题涉及不兼容性和常见的设计挑战。本章讨论的建筑问题包括:
IPSec在防火墙环境中
IPsec,以及NAT环境
IPsec和QoS不一致
IPsec和碎片
IPsec + GRE和递归路由
通过防火墙部署IPSec,一些固有的设计挑战浮出水面。首先,适当的协议必须被允许通过的IPsec和ISAKMP通信通过防火墙。回想一下,对于IKE SA成功建立,UDP 500必须被允许通过。一旦IPsec隧道已建成在IKE,适当的IP协议号必须被允许(ESP和用于AH IP协议51 IP协议50),用于加密的流量通过防火墙。在我们的IPSec的讨论中,我们还讨论了碎裂的效果和IP未达在PMTUD预防的IPsec加密碎裂后,当发挥的关键作用。防火墙通常不发送IP未达。因此,当IPsec的部署在与防火墙一起,重要的是要确保的MTU被适当地定尺寸为通过比其他PMTUD一些方法IPsec隧道。
的IPsec的作为VPN技术的一个主要优势是保证数据没有被操纵,而在2个加密端点之间转接。当在两个加密端点之间引入的NAT设备,常常在运输过程中的数据包的部件被操纵特异性的源IP地址,目的IP地址,源端口和目的端口。此行为导致NAT和IPsec之间,包括许多内在的不兼容问题:
IPsec的AH键控MIC故障在NAT环境
站IPsec SA选择的不一致在NAT环境
IKE密钥更新失败在PAT环境
重叠的IPsec安全策略数据库表项
在NAT设备的IPsec安全参数索引冲突
内嵌IP地址转换限制
单向NAT的支持
TCP和UDP校验和失败
与QoS一起部署时,IPSec会引入设计挑战。在本章中,我们已经讨论了IPsec如何使源和目的地哈希信息不透明到中间笔记,这些备注要求散列信息制作加权公平的排队决策。我们还讨论了IPsec如何使用中间注释所需的RSVP信令信息,以保证到IP端点之间的端到端QoS。通过结合反向窗口,IPSEC通过结合反转攻击来保护防止回滚攻击。当QoS延迟接收主机上的反向窗口外部的加密数据包的传输时,数据包被删除。
确保加密发生之前的IPsec网络,碎片化促进是非常重要的。这是因为,当解密的IPsec端点接收的片段链,所有链中的片段的必须解密之前,数据包可被重新组装,即在这个过程中交换路径执行的操作。此行为导致的IPsec VPN端点显着的性能和可扩展性方面的考虑。因此,正确的分段是极为重要的设计考虑在的IPsec VPN部署验证。在本章中,我们提供了保证的IPsec VPN部署,不成体系的几种方法得到正确执行,与IPsec加密之前。
我们在本章所属讨论的最后一个问题,建筑递归中的IPsec + GRE环境中的路由。从我们前面的讨论回想的IPsec + GRE是一种流行的设计选择,因为它可容纳在加密交换路径组播流量。当建立GRE部署用于构建GRE隧道的路由不然后在GRE隧道本身递归学习,产生GRE隧道的拆卸和形成在该隧道的对应的路由协议邻接必须小心。
在接下来的章节中,我们将讨论建立在本章和前几章中介绍的可靠的IPsec基础之上的弹性和高可用性IPsec设计。在后续章节中探讨每一种设计时,务必考虑本章中介绍的IPsec VPN部署的常见问题。
版权所有©2007培生教育。保留所有权利。