如何负载均衡IPSec协议

这是续集。
您可以通过以下链接以PDF格式下载本文,以为我们提供支持。

以PDF格式下载指南


这是续集。

这是续集。
这是续集。

企业利用IPsec虚拟专用网(VPN)来互连两个位置,即IP广域网(WAN)或整个Internet。如果您从未使用过此服务, 从这里下载VPN..负载平衡允许企业通过等价多路径(ECMP)或链路聚合组(LAG)完全访问IPsec VPN站点之间的可用带宽。

以下是有关如何通过VPN隧道对IPsec协议进行负载平衡以改善IPsec ESP流量的负载平衡的简短指南。

设置负载均衡方式

要在会话期间分发或分发数据,请设置以下负载平衡命令。

config load-balance setting
set dp-load-distribution-method {to-master | src-ip | dst-ip | src-dst-ip | src-ip-sport | dst-ip-dport | src-dst-ip-sport-dport}
end

流规则

您可能无法平衡某些类型的数据。因此,如果您无法负载均衡特定类型的数据,请将其发送到主FPM。为此,请配置流量规则。

使用config load balance flow-rule命令创建流规则。默认配置使用此命令将IKE,GRE,会话帮助程序,Kerberos,BGP,RIP,IPv4和IPv6 DHCP,PPTP,BFD,IPv4多播和IPv6多播发送到主FPM。

以下配置将所有IKE会话发送到主FPM。

config load-balance flow-rule
edit 1
set status enable
set vlan 0
set ether-type ip
set protocol udp
set src-l4port 500-500
set dst-l4port 500-500
set action forward
set forward-slot master
set priority 5
set comment "ike"
next

edit 2
set status disable
set vlan 0
set ether-type ip
set protocol udp
set src-l4port 4500-4500
set dst-l4port 0-0
set action forward
set forward-slot master
set priority 5
set comment "ike-natt src"
next

edit 3
set status disable
set vlan 0
set ether-type ip
set protocol udp
set src-l4port 0-0
set dst-l4port 4500-4500
set action forward
set forward-slot master
set priority 5
set comment "ike-natt dst"

如何确定主要FPM

主FPM执行动态路由。因此,您可以使用diagnostic load-balance status命令来选择指定为主要FPM的FPM。

以下示例显示了负载平衡状态输出的诊断。这表明FPM(在情况下为插槽3)是模块的主要FPM。

Slot: 2 Module
FIM02: FIM04E3E16000222
Master FPM Blade: slot-3
Slot 3: FPM20E3E17900133
Status:Working Function:Active
Link: Base: Up Fabric: Up
Heartbeat: Management: Good Data: Good
Status Message: "Running"
Slot 4:
Status:Dead Function:Active
Link: Base: Up Fabric: Down
Heartbeat: Management: Failed Data: Failed
Status Message: "Waiting for management heartbeat."

IPsec VPN负载平衡

您可以使用以下命令来启用或禁用IPsec VPN负载平衡。

config load-balance setting
config ipsec-load-balance {disable | enable}
end

默认情况下,IPsec启用了VPN负载平衡,并且禁用了下面列出的流规则。因此,将IPsec VPN会话定向到DP2处理器,并将负载平衡到FPM。但是,启用IPsec VPN负载平衡后,在两个IPsec隧道之间移动的IPsec VPN会话将被丢弃,因为两个IPsec隧道可能会以不同的FPM结束。

因此,如果您有流量从一个IPsec VPN隧道进入设备,并且想要将该设备从另一IPsec VPN隧道中排除,则应禁用IPsec负载平衡。

config load-balance setting
config ipsec-load-balance disable
end

禁用IPsec VPN负载平衡时,以下流规则生效。

config load-balance flow-rule
edit 22
set ether-type ipv4
set protocol udp
set src-l4port 500-500
set dst-l4port 500-500
set comment "ipv4 ike"
next
edit 23
set ether-type ipv4
set protocol udp
set src-l4port 4500-4500
set comment "ipv4 ike-natt src"
next
edit 24
set ether-type ipv4
set protocol udp
set dst-l4port 4500-4500
set comment "ipv4 ike-natt dst"
next
edit 25
set ether-type ipv4
set protocol esp
set comment "ipv4 esp"
next
end

这些流规则通常应处理所有IPsec VPN通信。 VPN隧道协议..如果您的IPsec VPN设置与默认流规则不兼容,则还可以调整它们或添加自己的流规则。

GTP负载平衡

您可以使用以下命令启用或禁用GTP负载平衡:

config load-balance setting
config gtp-load-balance {disable | enable}
end

默认情况下,此选项为禁用,并且GTP负载平衡为禁用。以下流规则生效,并将GTP流量发送到主要(主)FPM。

config load-balance flow-rule
edit 17
set ether-type ipv4
set protocol udp
set dst-l4port 2123-2123
set comment "gtp-c to master blade"
next
end

如果启用了GTP负载平衡选项,则将禁用GTP负载平衡流规则,并将GTP会话发送到DP2处理器以实现FPM的负载平衡。

无法进行负载平衡的流量的默认设置

建议使用以下流规则来处理无法负载均衡的常见流量形式。这些流规则将GPRS(端口2123),SSL VPN,IPv4和IPv6 IPsec VPN,ICMP和ICMPv6通信发送到主(或主)FPM。

以下CLI语法显示了配置更改。所有其他选项均设置为默认值。例如,控制将会话发送到的FPM插槽的流规则选项是前向插槽,并且在所有情况下,前向插槽均使用默认设置设置为主。此设置将匹配的会话发送到主(或主)FPM。

config load-balance flow-rule
edit 20
set status enable
set ether-type ipv4
set protocol udp
set dst-l4port 2123-2123
next

edit 21
set status enable
set ether-type ip
set protocol tcp
set dst-l4port 10443-10443
set comment "ssl vpn to the primary FPM"
next

edit 22
set status enable
set ether-type ipv4
set protocol udp
set src-l4port 500-500
set dst-l4port 500-500
set comment "ipv4 ike"
next

edit 23
set status enable
set ether-type ipv4
set protocol udp
set src-l4port 4500-4500
set comment "ipv4 ike-natt src"
next

edit 24
set status enable
set ether-type ipv4
set protocol udp
set dst-l4port 4500-4500
set comment "ipv4 ike-natt dst"
next

edit 25
set status enable
set ether-type ipv4
set protocol esp
set comment "ipv4 esp"
next

edit 26
set status enable
set ether-type ipv6
set protocol udp
set src-l4port 500-500
set dst-l4port 500-500
set comment "ipv6 ike"
next

edit 27
set status enable
set ether-type ipv6
set protocol udp
set src-l4port 4500-4500
set comment "ipv6 ike-natt src"
next

edit 28
set status enable
set ether-type ipv6
set protocol udp
set dst-l4port 4500-4500
set comment "ipv6 ike-natt dst"
next

edit 29
set status enable
set ether-type ipv6
set protocol esp
set comment "ipv6 esp"
next

edit 30
set ether-type ipv4
set protocol icmp
set comment "icmp"
next

edit 31
set status enable
set ether-type ipv6
set protocol icmpv6
set comment "icmpv6"
next

edit 32
set ether-type ipv6
set protocol 41
end

该网站上的其他文章:

如何在Linux上使用L2TP和Cisco IPsec设置IPSec VPN服务器

从Linux和Android设备连接到Algo VPN服务器

如何在Linux上使用nmcli连接到OpenVPN服务器

从Linux终端使用Cisco AnyConnect连接到VPN服务器

网络和安全培训材料。


CompTIA Security +(SY0-501)完整课程和实践考试

★★★★★
(9062)

$ 18.00

$ 225.05

有现货

立即购买

如何负载均衡IPSec协议Udemy.com


完整的网络安全课程:网络安全!

完整的网络安全课程:网络安全!

★★★★☆
(8290)

$ 15.75

$ 135.02

有现货

立即购买

如何负载均衡IPSec协议Udemy.com


网站黑客/渗透测试和漏洞赏金狩猎

网站黑客/渗透测试和漏洞赏金狩猎

★★★★★
(7468)

$ 18.00

$ 213.80

有现货

立即购买

如何负载均衡IPSec协议Udemy.com


从头开始学习道德黑客

从头开始学习道德黑客

★★★★★
(75528)

$ 16.88

$ 219.42

有现货

立即购买

如何负载均衡IPSec协议Udemy.com

您可以通过以下链接以PDF格式下载本文,以为我们提供支持。

以PDF格式下载指南


这是续集。

这是续集。
这是续集。

Sidebar