写的有点乱

动态map和静态map

使用场景:hub固定IP,另一端没有固定IP。适用于思科和其他厂商对接。两端都是思科可以使用EZVPN
peer端直接普通的静态map配置
hub端使用动态map

1
2
3
crypto dynamic-map DY-MAP 10
 set transform-set TRANS 
crypto map STATIC-MAP 10000 ipsec-isakmp dynamic DY-MAP

ikev2的SVTI

待补充

NAT穿越问题

ike 1-2包同时判断对方是否支持NAT-T
3-4包发送NAT-D 第三个包hash自己的源目IP将值发送给B,然后对端收到后用收到的源目IP进行hash,如果不一致则后续5-6等包全都启用udp4500封装。

远程拨号VPN

1,vpdn:
pptp, l2tp over ipsec
2,EzVPN
3,SSL VPN

pptp

协商过程:TCP 1723
PPP封装内层,外层是GRE,本身并不加密
IPSEC只能用来加密IP流量,而PPTP还支持非IP,如IPX等
在ASA上需要inspect pptp解决穿越问题

l2tp over ipsec

L2TP:UDP1701
PPP封装内层,外层是UDP,本身并不加密
配合ipsec之后在PPP之外加上esp,对esp内部加密

平常不需要使用以下技术,直接使用GRE over IPSec或者SVTI直接跑动态即可

RRI反向路由注入

多个ipsec vpn出口前往同一个peer是用来解决路由问题。
根据active sa产生前往对端通讯店的静态路由 ,下一条是对端加密点IP。
本地设备可以通过tag配置该路由,重分布进动态路由即可。

1
2
3
crypto map XXX-MAP
 reverse route
 reverse route tag 10

DPD死亡对等体检测

ikev1默认没有启用keepalive机制(类似路由协议hello),所有如果对端peer down,本地无法得知,需要等待ipsec sa超时(1小时)后才发现。而DPD就是通过心跳检测对端peer是否active

两种模式periodic(周期) 和 on-demand(按需,默认)
periodic:周期发送,占用加解密资源,检测快。5次失败之后自动清除sa

1
2
crypto isakmp keepalive <time> periodic
clear crypto ipsec sa

on-demand:发送加密包出去,一定时间内没有解密包回来,这时候DPD会发送询问。如果一直有加解密,或者没有任何加解密被发送,那么不会发送查询。节约资源,但是可能存在一端sa被清,一端sa还存在

1
2
crypto isakmp keepalive <time>
clear crypto ipsec sa