Uma VPN IPSEC site-to-site precisa de uma conexão sempre ativa?

2

Uma VPN IPSEC site-to-site precisa de uma conexão / túnel sempre ativa com keepalives ou é possível somente criptografar pacotes quando necessário (quando ela corresponde a uma rota ou algo parecido)?

    
por brunoqc 05.10.2014 / 20:03

1 resposta

1

Você pode fazer uma criptografia oportunista (ou seja, apenas abrir o túnel quando necessário), com algumas ressalvas:

  • Você precisará manter ativamente a lista de acesso para o tráfego considerado "interessante"
  • Você necessariamente fará com que as rotas se movimentem, à medida que um caminho aparecer e desaparecer no seu RIB e, em seguida, for propagado em ambos os sites por meio do protocolo de roteamento usado para se comunicar entre roteadores; Umedecer será seu amigo, para evitar confundir lentamente e queimar seus roteadores
  • Sua disciplina de monitoramento terá que amadurecer, já que você não pode mais apenas olhar para "a interface do túnel está acima?", você precisará olhar para "está a interface do túnel para cima, e eu esperava que fosse "
  • Por fim, devido ao tempo de inicialização do túnel, você só desejará usar criptografia oportunista para serviços confiáveis, pois há uma probabilidade de o primeiro pacote de comunicação expirar ou ser perdido enquanto espera que o túnel entre em funcionamento. e uma rota para o lado distante para estar disponível
  • Para atenuar a maioria deles, configure-o para ficar ativo por vários minutos após o último pacote "interessante", portanto, se outra conversa "interessante" começar logo depois, você já terá um caminho para isso.

Pode não ser difícil encontrar um livro-texto antigo do Cisco BCRAN e ler sobre as implicações do roteamento de discagem por demanda; isso é essencialmente a mesma coisa, usando apenas criptografia em vez de PSTN / ISDN.

Por curiosidade, qual é o driver para ter a interface do túnel para baixo e apenas estabelecê-lo quando é necessário? Como o tunnle é essencialmente livre (não roteado por minuto como o antigo PSTN / ISDN / PRI), tê-lo pregado e uma heartbeet periódica para mantê-lo é provavelmente mais barato em termos de manutenção e suporte.

    
por 05.10.2014 / 21:33