IPSec VPN 網絡穿越和高可用性

第一部分 IPSec VPN 網絡穿越問題

1.1 IPSec 流量放行問題（中間設備）

放行加密點之間的ISAKMP和ESP 流量

site1:202.100.1.1

site2:202.100.2.1

access-list out extended permit udp host 202.100.1.1 eq isakmp host 202.100.2.1 eq isakmp
access-list out extended permit esp host 202.100.1.1 host 202.100.2.1
access-group out in interface outside

1.2 IPSec 流量放心問題（加解密設備）

site1:202.100.1.1

site2:61.128.1.1

ip access-list extended inbound
permit upd host 遠端ip eq isakmp host 本端ip eq isakmp 
permit esp host 遠端ip host 本端ip
ip access-list extended outbound
permit esp host 本端ip host 遠端ip
interface f0/0
ip access-group inbound in 
ip access-group outbond out

1.3 入方向crypto MAP對流量的處理

1.4 NAT-T 技術介紹

NAT-T技術默認是開啟的

NAT對ESP的影響：
在傳輸模式的ESP，NAT修改了外層IP地址，由於TCP/UDP校驗和的計算包含IP源目地址，所以TCP/UDP的
校驗和需要更新，但是現在TCP/UDP已經加密，中間路由器無法更新TCP/UDP的校驗和，所以TCP的校驗和
檢查最終會失敗
隧道模式的ESP，不受1:1轉換的影響（動態一對一，靜態一對一），但是不能穿越PAT，因為PAT轉換，
多個內部地址復用一個外部地址，並且使用傳輸層端口來區分不同流量，很遺憾ESP沒有傳輸層端口

NAT-T技術的三個步驟

第一步決定雙方是否都支持NAT Traversal
    決定雙方是否支持NAT-T和判斷peers之間是否有NAT存在的任務在IKE第一階段完成，NAT-T能力探
    測使用IKE第一階段1-2個包交換來實現，雙方互相交換NAT-T的vendor ID來表示本端是否支持NAT-T
第二步決定兩個peers 之間是否有NAT存在
    為了決定peers之間是否有NAT存在，peer會發送一個hash負載（源目IP和端口計算），如果雙方計算
    的hash和接收的hash值匹配，那麽peers之間就沒有NAT存在（就采用ESP封裝），如果hash值不匹配，
    那麽peers就需要使用NAT-T技術封裝穿越NAT
    hash負載也叫NAT-D負載，他在MM模式的3-4個包發送，也在AM的2-3個包發送
第三步決定如何使用UDP封裝

第二部分 IPSec VPN高可用性

2.1 基本IPSec VPN配置

  crypto isakmp policy 10
    authentication pre-share
    crypto isakmp key cisco address 202.100.1.1
    crypto ipsec transform-set vpntrans esp-des esp-md5-hmac

ip access-list extended vpn
  permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

crypto map vpn-map 10 ipsec-isakmp
set peer 202.100.1.1
set transform-set vpntrans
match address vpn

interface f0/0
 crypto map vpn-map

inside 暫時添加一條路由

ip route 0.0.0.0 0.0.0.0 10.1.1.10

2.2 Reverse Route injection ( RRI)

哪臺路由器處於active（有IPSEC SA）就會有如下的RRI

static route 1.1.1.0/24 next hop 202.100.1.1

RRI介紹

RRI能夠為遠端隧道終點保護的網絡和主機，在路由表內動態的插入相應的靜態路由，這些被保護的主機
和網絡也被叫為“remote proxy identities”
基於“remote proxy”的網絡和掩碼產生每一條路由，這些網絡的下一跳為遠端隧道終點。使用遠端VPN
路由器為下一跳，能夠引導流量被加密

RRI配置（ACTIVE）

crypto map vpn-map 10
 set reverse-route tag 10(為RRI動態產生的路由打上tag10）
 reverse-reoute（啟用RRI）
route-map static-to-ospf permit 10
 match tag 10 （配置上tag 10的路由）
router ospf 1
 redistribute static subnets route-map static-to-ospf （重分布靜態路由到身後動態路由協議）

2.4 Dead Peer Detection

VPN使用一個keepalive機制叫做DPD，來檢查遠端隧道IPSec路由器的可用性。如果網絡發生不尋常的忙碌或者不穩定，我們能夠設置一個時間來等待，並且判斷遠端設備是否“Active”。DPD技術能夠和其他高可用性技術配合使用，盡快的清除有問題的IPSec SA，和正常工作的peer建立IPSec隧道

DPD有兩種工作模式：

1. Periodic

2. on-demand(默認）

DPD Periodic  周期性的檢測dead peers
crypto isakmp keepalive 10 periodic
周期性頻繁的發送信息結果就是通訊雙方會加解密更多的數據包，增加設備的資源消耗

DPD on-demand  基於流量形式的不同而采取不同的發送方式
crypto isakmp keepalive 10
默認情況下DPD連續5次無響應，會認為鏈路故障
如果一臺路由器發送了出方向的流量，在一定時間內對端路由器沒有回送相應的解密流量，這個時候DPD被發送來詢問對端狀態。
如果一臺路由器沒有流量要發送，那麽它也不會發送DPD信息

default peer

使用“set peer ”命令我們可以配置第一個peer為default peer
如果配置了default peer，下一次連接會直接向default peer發起
如果default peer 沒有響應，在“peer list”裏邊的下一個peer 會成為current peer

idle timers

阻止閑置peer消耗資源

cisco VPN 學習第三天筆記