Назад | Перейти на главную страницу

Требуется ли для VPN IPSEC между сайтами постоянное соединение?

Требуется ли IPSEC vpn типа «сеть-сеть» всегда активное соединение / туннель с сообщениями поддержки активности или возможно ли шифрование пакетов только при необходимости (когда он соответствует маршруту или что-то в этом роде)?

Вы можете использовать гибкое шифрование (то есть открывать туннель только тогда, когда это необходимо), с несколькими оговорками:

  • Вам нужно будет активно поддерживать список доступа для того, какой трафик считать "интересным".
  • Вы обязательно вызовете колебание маршрута, поскольку путь появляется и исчезает в вашем RIB, а затем распространяется по обоим сайтам через любой протокол маршрутизации, который вы используете для связи между маршрутизаторами; увлажнение будет вашим другом, чтобы не сбивать с толку и не сжигать ваши маршрутизаторы
  • Ваша дисциплина мониторинга должна вырасти, так как вы больше не можете просто смотреть на «работает ли туннельный интерфейс?», Вам нужно будет посмотреть на «работает ли туннельный интерфейс и ожидал ли я, что он будет работать?»
  • Наконец, из-за времени инициализации туннеля вы захотите использовать гибкое шифрование только для надежных служб, так как существует вероятность того, что первый пакет связи прервется по таймауту или будет потерян, поскольку он ждет, пока туннель сработает, и маршрут в дальнюю сторону, чтобы быть доступным
  • Чтобы смягчить большинство из них, настройте его так, чтобы он оставался включенным в течение нескольких минут после последнего «интересного» пакета, поэтому, если вскоре после этого начнется другой «интересный» диалог, у вас уже есть путь для него.

Возможно, не помешает найти старый учебник Cisco BCRAN и прочитать о последствиях Dial-On-Demand-Routing; По сути, это то же самое, только с использованием криптографии вместо PSTN / ISDN.

Из любопытства, что является драйвером для отключения туннельного интерфейса и его установки только тогда, когда это необходимо? Поскольку туннель, по сути, бесплатный (не тарифицируется поминутно, как старые PSTN / ISDN / PRI), его прибивание и периодическая контрольная свекла, чтобы поддерживать его, вероятно, дешевле с точки зрения обслуживания и поддержки.