评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPv4直连路由与IPSec实例状态联动
通过配置IPv4直连路由与IPSec(IP Security)实例状态联动,可以保障IPSec加密数据被上送到正确的IPSec网关。
应用环境
在IPRAN场景中,有些业务对于安全性要求较高,需要使用IPSec进行加密发送。通常情况下,这些业务需要在CSG(Cell Site Gateway)上进行IPSec加密,然后进入IPSec隧道,最后在IPSec网关RSG(Radio Network Controller Site Gateway)上进行IPSec解密。而在实际网络中,为了提高可靠性,运营商通常会设置主备RSG,主备RSG上IPSec隧道接口配置相同的IP地址。
在没有配置IPv4直连路由与IPSec实例状态联动时,当主备RSG设备都将IPSec Tunnel接口下产生的相同前缀的直连路由发布给CSG设备后,由于这两条路由的开销都是0,CSG设备无法根据路由的开销值优选出一条路由。
配置使能IPv4直连路由与IPSec实例状态联动后:
- 如果IPSec Tunnel接口下的IPSec实例处于主用状态,则接口下产生的路由的开销为0。
- 如果IPSec Tunnel接口下的IPSec实例处于备用状态或者系统查询不到IPSec Tunnel接口下的IPSec实例的状态,则接口下产生的路由的开销为配置的开销值。
此后,当主备RSG设备都将IPSec Tunnel接口下产生的相同前缀的直连路由发布给CSG设备后,CSG设备可以根据路由的开销值不同优选出一条路由,这样CSG上的上行数据流量就能被发送给正确的IPSec网关。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface tunnel interface-number,创建Tunnel接口并进入Tunnel接口视图。
- 执行命令tunnel-protocol ipsec,配置Tunnel接口的隧道封装模式为IPSec。
- 执行命令ipsec policy policy-name service-instance-group service-group-name instance instance-id,在接口上应用安全策略。
- 执行命令direct-route track ipsec-instance degrade-cost cost,配置IPv4直连路由与IPSec实例状态联动。
如果IPSec Tunnel接口借用其他接口的IP地址,则IPsec Tunnel接口下直连路由的开销不能与IPSec实例状态联动。
本机不对外发布的直连路由的开销不能与IPSec实例状态联动。
- 执行命令commit,提交配置。
检查配置结果
完成配置后,在RSG设备上执行display
ip routing-table vpn-instance vpn-instance-name [ ip-address ] [ verbose ]命令查看VPN实例IP路由表信息或者执行display ip routing-table [ ip-address [ mask | mask-length ] [ verbose ] ]命令查看公网IP路由表信息:
- 如果IPSec Tunnel接口下的IPSec实例处于主用状态,可以看到IPSec Tunnel接口下的直连路由的开销值为0;
- 如果IPSec Tunnel接口下的IPSec实例处于备用状态或者系统查询不到IPSec Tunnel接口下的IPSec实例的状态,可以看到IPSec Tunnel接口下产生的直连路由的开销被修改为配置的开销值。
