IPSec可靠性可分为设备可靠性和链路可靠性。设备可靠性主要是双机热备。
1、双链路主备备份:两条隧道,主备方式
2、双链路隧道化备份:一条IPSec隧道,总部Tunnel口,分支物理接口
3、双设备备份:建立一条隧道,总部使用VRRP
IPSec主备链路备份需要分别在两个物理接口上应用IPSec策略,配置复杂,且需要通过IP-LINK跟踪路由状态,一边正确地进行IPSec隧道切换。那能否不直接在物理接口上应用IPSec策略呢?
当然是可以的。方法就是讲IPSec策略应用到一个虚拟的Tunnel接口上,由于策略不是应用到实际物理接口,那么IPSec并不关心有几条链路可以到达对端,也不关心链路是否出现故障,只要
对端路由可达,IPSec通信就不会中断。这种提升可靠性的方法叫做IPSec隧道化链路备份。总部采用双链路和分支机构通信,成功避免隧道切换的问题。
- FW_A收到明文IP报文后,将收到的IP明文送到转发模块进行处理
- 转发模块查找路由,发现路由出接口为Tunnel接口。转发模块依据路由查询结果将IP明文发送到tunnel接口
- 由于Tunnel接口应用了IPSec策略,报文在tunnel接口上进行IPSec封装。封装后的IPSec报文的源目IP地址分别为两端Tunnel口的IP地址
- 封装后的IPSec报文被送到转发模块进行处理。转发模块再次对密文IPSec报文查找路由,发现路由下一跳为物理接口
- 转发模块根据路由的优先级等选择合适的路由,将IPSec报文从设备的某个物理接口发送到FW_B
- FW_B收到密文IPSec报文后送到转发模块进行处理
- 转发模块识别到此IP密文的目的地址为本设备的Tunnel接口的IP地址且IP协议号为AH或ESP,将IP密文发送到Tunnel接口
- IPSec报文在Tunnel接口上进行解封装
- 解封装后的明文IP报文再次送到转发模块进行处理。转发模块再次对明文查找路由
- 转发模块通过查找路由,将IP明文从实际物理接口转发出去
双设备备份
- 总部FWA和B建立VRRP绑定在主接口上,IKE PEER配置tunnel local x.x.x.x为VRRP虚拟IP地址
- 在FWA\B出接口各调用ipsec policy
- 在分支的接口引用ipsec policy,ike-peer的remote-address指向总部VRRP虚拟IP地址
//总结
与在物理接口上直接建立IPSec隧道相比,基于Tunnel接口的IPSec隧道建立过程有两个不同:
1.在Tunnel接口上完成对IPSec封装和解封装 2.多了一步查找路由的过程
| 主备链路备份 | 隧道化链路备份 |
| 配置复杂 | 配置简单 |
| IPSec切换需重协商 | 不需要隧道切换 |
| 双链路场景 | 双链路或多链路场景 |
| 无限制 | 需要确保链路切换后 上游网络能正常转发IPSec报文 |