配置IPv4直连路由与IPSec实例状态联动
通过配置IPv4直连路由与IPSec(IP Security)实例状态联动,可以保障IPSec加密数据被上送到正确的IPSec网关。
应用环境
在IPRAN场景中,有些业务对于安全性要求较高,需要使用IPSec进行加密发送。通常情况下,这些业务需要在CSG(Cell Site Gateway)上进行IPSec加密,然后进入IPSec隧道,最后在IPSec网关RSG(Radio Network Controller Site Gateway)上进行IPSec解密。而在实际网络中,为了提高可靠性,运营商通常会设置主备RSG,主备RSG上IPSec隧道接口配置相同的IP地址。
在没有配置IPv4直连路由与IPSec实例状态联动时,当主备RSG设备都将IPSec Tunnel接口下产生的相同前缀的直连路由发布给CSG设备后,由于这两条路由的开销都是0,CSG设备无法根据路由的开销值优选出一条路由。
- 如果IPSec Tunnel接口下的IPSec实例处于主用状态,则接口下产生的路由的开销为0。
- 如果IPSec Tunnel接口下的IPSec实例处于备用状态或者系统查询不到IPSec Tunnel接口下的IPSec实例的状态,则接口下产生的路由的开销为配置的开销值。
此后,当主备RSG设备都将IPSec Tunnel接口下产生的相同前缀的直连路由发布给CSG设备后,CSG设备可以根据路由的开销值不同优选出一条路由,这样CSG上的上行数据流量就能被发送给正确的IPSec网关。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface tunnel interface-number,创建Tunnel接口并进入Tunnel接口视图。
- 执行命令tunnel-protocol ipsec,配置Tunnel接口的隧道封装模式为IPSec。
- 执行命令ipsec policy policy-name service-instance-group service-group-name instance instance-id,在接口上应用安全策略。
- 执行命令direct-route track ipsec-instance degrade-cost cost,配置IPv4直连路由与IPSec实例状态联动。
如果IPSec Tunnel接口借用其他接口的IP地址,则IPsec Tunnel接口下直连路由的开销不能与IPSec实例状态联动。
本机不对外发布的直连路由的开销不能与IPSec实例状态联动。
- 执行命令commit,提交配置。
检查配置结果
- 如果IPSec Tunnel接口下的IPSec实例处于主用状态,可以看到IPSec Tunnel接口下的直连路由的开销值为0;
- 如果IPSec Tunnel接口下的IPSec实例处于备用状态或者系统查询不到IPSec Tunnel接口下的IPSec实例的状态,可以看到IPSec Tunnel接口下产生的直连路由的开销被修改为配置的开销值。