h3cse security課程構(gòu)建安全v1 1培訓(xùn)膠片第八章可靠性

第8章VPN可靠性ISSUE1.1日期：杭州華三通信技術(shù)有限公司，掌握VPN可靠性的問題熟悉VPN可靠性實現(xiàn)的工作原理掌握的VPN可靠性的基本配置課程目標學(xué)習(xí)完本課程，您應(yīng)該能夠：VPN可靠性的問題

VPN可靠性實現(xiàn)的工作原理

VPN可靠性的基本配置目錄普通網(wǎng)絡(luò)存在的問題業(yè)務(wù)服務(wù)器總部網(wǎng)絡(luò)中心SecPathF1000-A移動用戶iNode＋secKey業(yè)務(wù)終端分支機構(gòu)SecPathV100-S可靠性問題解決——單點故障業(yè)務(wù)服務(wù)器總部網(wǎng)絡(luò)中心SecPathF1000-A×2負載分擔/冗余備份移動用戶iNode＋SecKey業(yè)務(wù)終端分支機構(gòu)SecPathV100-S可靠性問題解決——鏈路故障業(yè)務(wù)服務(wù)器總部網(wǎng)絡(luò)中心SecPathF1000-A×2負載分擔/冗余備份移動用戶iNode＋SecKey業(yè)務(wù)終端分支機構(gòu)SecPathV100-SVPN可靠性的問題

VPN可靠性實現(xiàn)的工作原理

VPN可靠性的基本配置目錄可靠性問題解決——單點故障業(yè)務(wù)服務(wù)器總部網(wǎng)絡(luò)中心SecPathF1000-A×2負載分擔/冗余備份移動用戶iNode＋SecKey業(yè)務(wù)終端分支機構(gòu)SecPathV100-SVRRP可靠性問題解決——動態(tài)路由方式業(yè)務(wù)服務(wù)器總部網(wǎng)絡(luò)中心SecPathF1000-A×2負載分擔/冗余備份移動用戶業(yè)務(wù)終端分支機構(gòu)OSPF+GRE+IPSecSecPathV100-SiNode＋SecKey可靠性問題解決——偵測組方式業(yè)務(wù)服務(wù)器總部網(wǎng)絡(luò)中心移動用戶業(yè)務(wù)終端分支機構(gòu)L3MonitorSecPathF1000-A×2負載分擔/冗余備份SecPathV100-SiNode＋SecKeyVPN可靠性的問題

VPN可靠性實現(xiàn)的工作原理

VPN可靠性的基本配置目錄Secpath系列VPN網(wǎng)關(guān)的VRRPSecpath系列VPN網(wǎng)關(guān)提供的VRRP可以實現(xiàn)如下配置：設(shè)定虛擬IP地址是否可以使用ping命令ping通添加或刪除虛擬IP地址設(shè)置備份組的優(yōu)先級設(shè)置備份組的搶占方式和延遲時間設(shè)置備份組的認證方式和認證字設(shè)置備份組的定時器設(shè)置監(jiān)視指定接口VRRP配置設(shè)定虛擬IP地址是否可以使用ping命令ping通vrrpping-enable注意：本配置需要在備份組建立之前就進行設(shè)定。如果安全網(wǎng)關(guān)上已經(jīng)建立了備份組，系統(tǒng)將不允許再進行本配置來設(shè)定虛擬IP地址是否可以使用ping命令ping通。

添加或刪除虛擬IP地址vrrpvrid

virtual-router-ID

virtual-ip

virtual-address備份組號virtual-router-ID范圍從1到255，虛擬地址可以是備份組所在網(wǎng)段中未被分配的IP地址，也可以是屬于備份組某接口的IP地址。VRRP配置設(shè)置備份組的優(yōu)先級vrrpvridvirtual-router-IDprioritypriority-value

優(yōu)先級的取值范圍為0到255（數(shù)值越大表明優(yōu)先級越高），但是可配置的范圍最小值是1，最大值是254。優(yōu)先級0為系統(tǒng)保留給特殊用途來使用，255則是系統(tǒng)保留給IP地址擁有者。IP地址擁有者的優(yōu)先級不可配置設(shè)置備份組的搶占方式和延遲時間vrrpvridvirtual-router-IDpreempt-mode[timerdelay

delay-value]缺省方式是搶占方式，延遲時間為0VRRP配置（續(xù)）設(shè)置備份組的認證方式和認證字vrrpauthentication-mode{md5key|simplekey}

VRRP提供了兩種認證方式：SIMPLE：簡單字符認證，用于可能受到安全威脅的網(wǎng)絡(luò)，認證字符長度不超過8字節(jié)MD5：利用AuthenticationHeader提供的認證方式和MD5算法來認證，通常用于安全要求較高，但網(wǎng)絡(luò)本身存在安全隱患的網(wǎng)絡(luò)VRRP配置（續(xù)）設(shè)置備份組的定時器vrrpvridvirtual-router-ID

timeradvertise

adver-intervalBackup的Master-down-interval的間隔時間大約是adver-interval的3倍設(shè)置監(jiān)視指定接口vrrpvridvirtual-router-IDtrackinterface-typeinterface-number[reducedpriority-reduced]不僅在備份組所在的接口出現(xiàn)故障時提供備份功能，而且在安全網(wǎng)關(guān)的其它接口不可用時，也可以使用備份功能。VRRP顯示和調(diào)試顯示VRRP的狀態(tài)信息display

vrrp

[interface

typenumber[virtual-router-ID]

]使能對VRRP報文的調(diào)試debuggingvrrp

packet使能對VRRP狀態(tài)的調(diào)試debuggingvrrp

stateVRRP配置舉例Eth0/0/0：10.0.0.3SecPathASecPathBSecPathCEth0/0/0：10.0.0.1Eth1/0/0：11.0.0.3Eth1/0/0：11.0.0.1VRRPID1：10.0.0.5VRRPID2：11.0.0.5總公司Eth0/0/0：10.0.0.4Eth0/0/0：13.0.0.1Eth1/0/0：12.0.0.2Eth0/0/0：13.0.0.4分公司動態(tài)路由方案配置舉例SecPathF1000-ASecPathV100-S總部Quidview網(wǎng)管平臺NE16E數(shù)據(jù)中心10/100/1000MLAN負載分擔冗余備份防火墻SecPathF1000-A分支分支分支偵測組方案配置舉例SecPathF100-A總部Quidview網(wǎng)管平臺NE16E數(shù)據(jù)中心10/10