h3cse security課程構建安全v1 1培訓膠片第八章可靠性

第8章VPN可靠性ISSUE1.1日期：杭州華三通信技術有限公司，掌握VPN可靠性的問題熟悉VPN可靠性實現(xiàn)的工作原理掌握的VPN可靠性的基本配置課程目標學習完本課程，您應該能夠：VPN可靠性的問題

VPN可靠性實現(xiàn)的工作原理

VPN可靠性的基本配置目錄普通網(wǎng)絡存在的問題業(yè)務服務器總部網(wǎng)絡中心SecPathF1000-A移動用戶iNode＋secKey業(yè)務終端分支機構SecPathV100-S可靠性問題解決——單點故障業(yè)務服務器總部網(wǎng)絡中心SecPathF1000-A×2負載分擔/冗余備份移動用戶iNode＋SecKey業(yè)務終端分支機構SecPathV100-S可靠性問題解決——鏈路故障業(yè)務服務器總部網(wǎng)絡中心SecPathF1000-A×2負載分擔/冗余備份移動用戶iNode＋SecKey業(yè)務終端分支機構SecPathV100-SVPN可靠性的問題

VPN可靠性實現(xiàn)的工作原理

VPN可靠性的基本配置目錄可靠性問題解決——單點故障業(yè)務服務器總部網(wǎng)絡中心SecPathF1000-A×2負載分擔/冗余備份移動用戶iNode＋SecKey業(yè)務終端分支機構SecPathV100-SVRRP可靠性問題解決——動態(tài)路由方式業(yè)務服務器總部網(wǎng)絡中心SecPathF1000-A×2負載分擔/冗余備份移動用戶業(yè)務終端分支機構OSPF+GRE+IPSecSecPathV100-SiNode＋SecKey可靠性問題解決——偵測組方式業(yè)務服務器總部網(wǎng)絡中心移動用戶業(yè)務終端分支機構L3MonitorSecPathF1000-A×2負載分擔/冗余備份SecPathV100-SiNode＋SecKeyVPN可靠性的問題

VPN可靠性實現(xiàn)的工作原理

VPN可靠性的基本配置目錄Secpath系列VPN網(wǎng)關的VRRPSecpath系列VPN網(wǎng)關提供的VRRP可以實現(xiàn)如下配置：設定虛擬IP地址是否可以使用ping命令ping通添加或刪除虛擬IP地址設置備份組的優(yōu)先級設置備份組的搶占方式和延遲時間設置備份組的認證方式和認證字設置備份組的定時器設置監(jiān)視指定接口VRRP配置設定虛擬IP地址是否可以使用ping命令ping通vrrpping-enable注意：本配置需要在備份組建立之前就進行設定。如果安全網(wǎng)關上已經建立了備份組，系統(tǒng)將不允許再進行本配置來設定虛擬IP地址是否可以使用ping命令ping通。

添加或刪除虛擬IP地址vrrpvrid

virtual-router-ID

virtual-ip

virtual-address備份組號virtual-router-ID范圍從1到255，虛擬地址可以是備份組所在網(wǎng)段中未被分配的IP地址，也可以是屬于備份組某接口的IP地址。VRRP配置設置備份組的優(yōu)先級vrrpvridvirtual-router-IDprioritypriority-value

優(yōu)先級的取值范圍為0到255（數(shù)值越大表明優(yōu)先級越高），但是可配置的范圍最小值是1，最大值是254。優(yōu)先級0為系統(tǒng)保留給特殊用途來使用，255則是系統(tǒng)保留給IP地址擁有者。IP地址擁有者的優(yōu)先級不可配置設置備份組的搶占方式和延遲時間vrrpvridvirtual-router-IDpreempt-mode[timerdelay

delay-value]缺省方式是搶占方式，延遲時間為0VRRP配置（續(xù)）設置備份組的認證方式和認證字vrrpauthentication-mode{md5key|simplekey}

VRRP提供了兩種認證方式：SIMPLE：簡單字符認證，用于可能受到安全威脅的網(wǎng)絡，認證字符長度不超過8字節(jié)MD5：利用AuthenticationHeader提供的認證方式和MD5算法來認證，通常用于安全要求較高，但網(wǎng)絡本身存在安全隱患的網(wǎng)絡VRRP配置（續(xù)）設置備份組的定時器vrrpvridvirtual-router-ID

timeradvertise

adver-intervalBackup的Master-down-interval的間隔時間大約是adver-interval的3倍設置監(jiān)視指定接口vrrpvridvirtual-router-IDtrackinterface-typeinterface-number[reducedpriority-reduced]不僅在備份組所在的接口出現(xiàn)故障時提供備份功能，而且在安全網(wǎng)關的其它接口不可用時，也可以使用備份功能。VRRP顯示和調試顯示VRRP的狀態(tài)信息display

vrrp

[interface

typenumber[virtual-router-ID]

]使能對VRRP報文的調試debuggingvrrp

packet使能對VRRP狀態(tài)的調試debuggingvrrp

stateVRRP配置舉例Eth0/0/0：10.0.0.3SecPathASecPathBSecPathCEth0/0/0：10.0.0.1Eth1/0/0：11.0.0.3Eth1/0/0：11.0.0.1VRRPID1：10.0.0.5VRRPID2：11.0.0.5總公司Eth0/0/0：10.0.0.4Eth0/0/0：13.0.0.1Eth1/0/0：12.0.0.2Eth0/0/0：13.0.0.4分公司動態(tài)路由方案配置舉例SecPathF1000-ASecPathV100-S總部Quidview網(wǎng)管平臺NE16E數(shù)據(jù)中心10/100/1000MLAN負載分擔冗余備份防火墻SecPathF1000-A分支分支分支偵測組方案配置舉例SecPathF100-A總部Quidview網(wǎng)管平臺NE16E數(shù)據(jù)中心10/10