FAQ-IPSec双机热备时应如何配置

发布时间:  2014-09-19 浏览次数:  161 下载次数:  0
问题描述
IPSec双机热备时应如何配置?
解决方案
IPSec双机热备包括主备备份和负载分担两种场景。IPSec双机热备要求上下行业务接口必须为三层接口。
 主备双机热备
− IPSec主备双机热备中,双机热备和IPSec的配置与单独使用时没有区别。
− 只需要在一台设备上配置IPSec策略并在接口上应用,另一台设备上会自动备份。
− 如果设备作为IPSec隧道发起方,则必须执行命令local-address ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。
 负载分担双机热备
− IPSec负载分担双机热备中,需要在应用IPSec策略时配置策略的状态。IPSec策略存在三种状态,分别为alone(不备份)、master(主状态)和slave(备状态)。
− 只需要在配置主设备上配置IPSec策略并在接口上应用,配置从设备上会自动备份。
− 当采用IKEv2协商IPSec隧道需要为EAP用户分配地址时,要求负载分担设备上配置不同的地址池,否则可能会分配相同的地址而导致冲突。

END