Transcript IPsec VPNs Cisco High Availability Options High Availability for Cisco IOS IPsec VPNs Failures • IPsec VPN 은 다양한 장애가 발생할 수 있다. – Access link.

IPsec VPNs
Cisco High Availability Options
High Availability for
Cisco IOS IPsec VPNs
Failures
• IPsec VPN 은 다양한 장애가 발생할 수 있다.
– Access link failure
– Remote peer failure
– Device failure
– Path failure
• IPsec 은 장애에 대비한 구조가 디자인 되어야 한다.
Redundancy
다음 옵션 가운데 하나 이상의 솔루션을 사용한다.
• 두개의 access links를 사용하여 장애를 완화 시킨다
• Multiple peers를 사용하여 장애를 완화 시킨다.
• 두개의 local VPN 장비를 사용하여 장애를 완화 시킨다.
• 다중의 독립된 경로를 사용하여 모든 경로 장애를 완화 시킨다.
Failure Detection
• Native IPsec uses DPD 를 사용하여 경로와 peer의 장애를 발견.
• 어떠한 형태의 GRE over IPsec 구현해도 routing protocol 의
hello mechanism을 이용하여 장애를 발견한다.
• HSRP 는 로컬 장비의 장애를 발견한다.
• VRRP and GLBP have similar failure-detection functionality.
Dead Peer Detection
• IKE keepalives:
– 정기적으로 Hello Packet을 전송
• DPD:
– 데이터 전송이 없는 경우에만 정기적으로 Keepalive 수행
– On-demand option
IPsec Backup Peer
IPsec Backup Peer
DPD와 IOS Keepalive가 장애 감지 시 Crypto Map에 Multiple Peer
사용하는 방법.
• DPD와 IOS Keepalive 를 통한 Peer의 장애를 감지하면(3개의 메시지 손실)peer의
IPSec과 IKE SA를 삭제한다.
• Multiple Peer가 구성된 경우 장애복구를 위하여 Crypto Map에 구성된 다음
Peer로 연결을 시도
Hot Standby Routing
Protocol
Hot Standby Routing Protocol
• HSRP can be used at:
– 두개의 head-end devices는 remote peer에게 하나의 Device로 나타난다.
– 두개의 IPSec Gateway는 Local Device에 하나로 나타난다.
• Active HSRP는 virtual IP 와 MAC address를 사용한다.
• Active HSRP device가 Down되면 Standby HSRP device가 virtual IP
와 MAC address를 처리한다.
HSRP for Default Gateway at Remote Site
• 모든 Remote Device는 virtual IP를 default gateway로 사용한다.
• Backup router는 primary router가 Down된 경우에 사용된다.
HSRP for Head-End IPsec Routers
• Remote site는 peer로 Headend의 virtual IP address를 사용한다.