VPN:配置保护相同数据流的新用户快速接入总部功能
2021-11-15
来源:计算机与网络安全
关键词:
VPN
当分支机构和公司总部成功建立了IPSec隧道后,可能由于链路状态变化,分支机构网关应用安全策略组的接口IP地址发生改变(如分支机构网关通过拨号接入Internet与总部建立IPSec隧道的情况下)。但在此之前,总部网关已存在一条IPSec隧道保护总部网关与分支机构网关(原有用户)相互访问的流量,此时由于新旧IPSec隧道所保护的数据流相同而导致的冲突,会使分支机构无法与总部再建立一条新的IPSec隧道,这样分支机构网关(新用户)与总部网关无法快速重新建立IPSec隧道,两者之间的流量无法受到安全保护。这时,可以通过配置保护相同数据流的新用户快速接入总部功能,使分支机构网关与总部网关之前建立的IPSec SA迅速老化,以重新建立IPSec隧道。
该功能的实现必须具备以下前提条件。
总部网关作为IPSec协商响应方,且采用策略模板方式与分支机构网关建立IPSec隧道。
新用户配置的ACL规则必须与原有用户配置的ACL规则完全一致。
新用户接入总部网关时使用的接口与原有用户使用的接口必须是总部网关上的同一接口。
配置保护相同数据流的新用户快速接入总部功能的方法也很简单,只需在系统视图下执行ipsec remote traffic-identical accept命令,使能保护相同数据流的新用户接入总部功能即可。缺省情况下,未使能保护相同数据流的新用户接入总部功能,可用undo ipsec remote traffic-identical accept命令去使能保护相同数据流的新用户快速接入总部功能。
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。