1.Site - to - Site、2.Remote Access、3.Site - to - Site+Remote Access IPSec VPN 设计指南:
1. Site - to - Site IPSec VPN 设计指南:
1.1 全网状设计:
所有设备均支持全网状设计,但全网状设计其可扩展性不好,配置复杂,不推荐超过5~10个Site。
1.2 Hub and Spoke 设计指南:
1.2.1 普通设计要求:
IOS 路由器:可以支持Hub和Spoke之间,以及Spoke和Spoke之间通过Hub的通讯。
PIX:
1) 若Hub PIX只用一个物理端口与所有Spoke相连,则只能实现各个Spoke与Hub的通讯,Spoke之间的通讯不能实现;
2) 若要实现Spoke之间的通讯,有两个办法:一)在所有PIX上配置到所有其它PIX的ACL,也就是配置成全网状模式,但这样扩展性不好(不推荐超过5个);二)在Hub PIX上为每个Spoke PIX配置一个独立的物理端口,这样可扩展性仍然不好。
1.2.2 高可用性设计要求:
IOS路由器:可以利用 i) IKE keep-alive 、DPD;ii)IPSec+GRE+动态路由协议;iii)HSRP端口运行IPSec 来实现;首选IPSec+GRE+动态路由协议的方法(若路由器到路由器IPSec方式);若远端设备不支持任何IKE keep-alive或DPD,则可以选用iii)的方法;否则采用i)的方法。
PIX:只能采用IKE keep-alive 或 DPD的方法;若远端设备不支持,或不兼容高可用特性,则无法实现(只能等待IPSec SA的生存时间到后,才可能切换,不推荐修改缺省的时间值)。
1.2.3 增值设计考虑:
1)NAT / PAT: 若在IPSec 建立通道的途中,在SP端有1:1的NAT,则IPSec采用ESP加密和Tunnel封装模式下,可以成功建立IPSec通道;但若存在PAT,则不能。
IOS路由器和PIX均遵循此规则,但VPN3000可以采用IPSec through NAT的方式成功建立通道;IOS可能会在将来支持此功能。
2)动态路由协议、多媒体应用支持:必须支持组播,要求有GRE或L2TP+IPSec,只有IOS路由器支持,PIX不支持。
3)QoS: 若需运行Voice、Video的IP包,需要足够的QoS,包括在Crypto Engine上的QoS支持,IOS路由器将支持Crypto Engine的LLQ,PIX、VPN3000不支持。V3PN的实现也依赖于IOS设备。
2. Remote Access IPSec VPN 设计指南:
最佳的远程接入IPSec VPN设备是VPN3000,支持IPSec through NAT,Crypto Engine支持多线程,可以同时提供大量的IKE SA建立请求;IOS 和PIX的Crypto Engine均为单线程,IOS会开发NBI(Non Blocking IKE),预计可以每秒支持45个IKE SA的建立。
若某些场合VPN3000不可用,可以推荐在PIX上实现Remote Access VPN接入,因这种场合下,用户对QoS的需求不高,故可以采用PIX。
3. Site-to-Site + Remote Access IPSec VPN设计指南:
目前阶段(在思科V3PN第五阶段实现之前):
1)最佳的设计方式是:用IOS实现Site-to-Site,IPSec+GRE,支持所有的特性;用VPN3000实现Remote Access,支持IPSec through NAT,提供远程用户在任何情况下的接入。
2)若VPN3000不可用:用IOS实现Site-to-Site,IPSec+GRE,支持所有的特性;用PIX实现Remote Access,配合Easy VPN提供远程用户的简单配置与方便接入。
