我有一个场景,我们需要在 2 个设备之间建立多个 IPSEC 隧道。
在上述场景中,ASR 有多个 VRF,我们要为每个 VRF 创建 IPSEC 隧道,而另一端是同一个 VIP。因此,我们正在考虑使用证书而不是 PSK。
每个隧道将使用一个证书(将使用不同的 CN),这将有助于识别哪个隧道来自哪个 VRF(客户)。
我正在考虑 VRF 感知 IPSEC 应该在这种情况下工作。但我担心的是,如果 ASR 公共接口执行 NAT,源端口(500/4500)会发生什么。我了解当有多个具有相同源端口的流时,NAT 将更改源端口号并在其表中维护。请帮助我确认/使用配置
如果这种情况有效或有任何更好的方法可以做到这一点。
PS:F5 负载均衡器只能查看第 3 层和第 4 层标头。我有多个 IPSEC 终结器,我需要负载平衡。因此,假设从 ASR 启动的每个隧道的源端口都不同。
您可以使用 VTI(具有 IPSec 保护的 GRE 隧道)非常简单地构建它。由于两条隧道具有相同的源、目标 IP 对,因此您需要确保使用唯一的(每个隧道)GRE 隧道密钥 (id),以便 ASR 可以区分它们。您可以选择使用相同的 IPSEC 配置文件(您需要隧道保护命令末尾的“共享”关键字)或不同的配置文件。您可以将隧道接口放入您喜欢的任何 VRF。
由于 F5 VIP,隧道需要从 F5 后面的两个路由器启动。在这种情况下,我会告诉 ASR 以仅响应者模式(在 ipsec 配置文件配置中)运行。
如果您有很多 VRF,那么 FlexVPN 是一个更好的选择,您可以将 CN 从证书中提取出来并分配配置文件(您甚至可以将其后端到 RADIUS 服务器上)。这配置起来要复杂得多,因此我建议您仔细阅读文档。
VRF的
两种类型的 VPN 是 LAN 到 LAN 和远程访问。听起来像是要您配置一些 LAN 到 LAN VPN。VPN 前端有时称为 VPN 集中器或 VPN 前端。您可以根据需要建立任意数量的 VPN 隧道(设备支持),甚至可以在它们之间设置各种参数。这并不罕见。
但是,在您的情况下,您只有 2 个物理设备,因此您需要创建多个逻辑设备来执行您想要的操作。VRF 的另一个含义是 VPN 路由和转发,它是 Cisco 的 MPLS(多协议标签交换)VPN 技术中的关键元素。