إعادة التفاوض على تكوينات الشبكة المحلية (LAN) إلى الشبكة المحلية (LAN) بين مركزات Cisco VPN و Cisco IOS وأجهزة PIX

خيارات التنزيل

  • PDF     (261.5 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (93.0 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (89.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢ فبراير ٢٠٠٦
معرّف المستند:14111

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يقوم هذا المستند بإبلاغ نتائج الاختبار المعملية لإعادة تفاوض نفق أمان IP (IPSec) من شبكة LAN إلى شبكة LAN بين منتجات شبكة VPN المختلفة في سيناريوهات مختلفة، مثل إعادة تمهيد جهاز VPN، وإعادة المفاتيح، والإنهاء اليدوي لاتحادات أمان IPSec (SAs).

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • برنامج IOS® الإصدار 12.1(5)T8 من Cisco

  • برنامج PIX الإصدار 6.0(1) من Cisco

  • برنامج مركز Cisco VPN 3000، الإصدار 3.0(3)A

  • برنامج مركز Cisco VPN 5000، الإصدار 5.2(21)

حركة مرور IP المستخدمة في هذا الاختبار هي حزم بروتوكول رسائل التحكم في الإنترنت (ICMP) ثنائية الإتجاه بين المضيفA والمضيف B.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي للشبكة

هذا رسم تخطيطي لمفهوم سرير الإختبار.

renegotiate.gif

أجهزة VPN تمثل موجه Cisco IOS، أو جدار حماية PIX آمن من Cisco، أو مركز Cisco VPN 3000 أو مركز Cisco VPN 5000.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

سيناريوهات الاختبار

وتم إختبار ثلاثة سيناريوهات مشتركة. فيما يلي تعريف مختصر لسيناريوهات الاختبار:

  • الإنهاء اليدوي لبروتوكولات IPSec SAs—يقوم المستخدم بتسجيل الدخول إلى أجهزة VPN ويمسح IPSec SAs يدويا باستخدام واجهة سطر الأوامر (CLI) أو واجهة المستخدم الرسومية (GUI).

  • مفتاح Rekey—Normal IPSec المرحلة الأولى والمرحلة الثانية عند انتهاء صلاحية فترة البقاء المحددة. في هذا الاختبار، يكون لجهازي إنهاء الشبكة الخاصة الظاهرية (VPN) نفس عمر المرحلة I والمرحلة II الذي تم تكوينه.

  • إعادة تمهيد جهاز VPN—تمت إعادة تمهيد أي من طرفي نقاط إنهاء نفق VPN لمحاكاة انقطاع الخدمة.

ملاحظة: بالنسبة للأنفاق من شبكة LAN إلى شبكة LAN حيث يتم إستخدام مركز VPN 5000، يتم تكوين مركز التركيز باستخدام الوضع الرئيسي وموجه الاستجابة عبر النفق.

نتائج الاختبار

إعداد إنهاء IPSec SAs يدويا ريكي إعادة تمهيد جهاز VPN
IOS إلى PIX
  • تم مسح النفق الذي أعيد إنشاؤه بعد المرحلة الأولى أو المرحلة الثانية
  • إختبار حركة المرور
  • لا تزال حركة المرور الاختبارية تعمل بعد المرحلة الأولى أو المرحلة الثانية
  • مع تمكين IKE keepalive على كلا الجهازين، تمت إعادة إنشاء النفق
  • يعمل إختبار حركة المرور 1 بعد إسترداد النفق
IOS إلى VPN 3000
  • تم مسح النفق الذي أعيد إنشاؤه بعد المرحلة الأولى أو المرحلة الثانية
  • إختبار حركة المرور
  • لا تزال حركة المرور الاختبارية تعمل بعد المرحلة الأولى أو المرحلة الثانية
  • مع تمكين IKE keepalive على كلا الجهازين، تمت إعادة إنشاء النفق
  • يعمل إختبار حركة المرور 1 بعد إسترداد النفق
IOS إلى VPN 5000
  • في IOS:
    • لا تزال حركة مرور الاختبار تعمل بعد مسح المرحلة الثانية
    • يتعطل نفق VPN عند مسح المرحلة I SA
    • إختبار حركة المرور توقف عن العمل
  • على شبكة VPN 5000:
    • يفشل النفق في إستعادة بعد مسح ال SA يدويا
    • يجب مسح كل من المرحلة الأولى والمرحلة الثانية من SA على IOS لإعادة إنشاء النفق
  • حركة المرور التجريبية لا تزال تعمل بعد تعديل المرحلة الثانية
  • المرحلة الأولى من المجرى أنزلت النفق
  • إختبار حركة المرور توقف عن العمل
  • يجب مسح SAs يدويا لإعادة النفق مرة أخرى
  • يفشل نفق أن يسترد بعد reboot إما VPN أداة (مع ثنائي إتجاه إختبار حركة مرور)
  • إختبار حركة المرور توقف عن العمل
  • يجب مسح SA يدويا على الجهاز الذي لم تتم إعادة تشغيله لإعادة النفق مرة أخرى
PIX إلى VPN 3000
  • تم مسح النفق الذي أعيد إنشاؤه بعد المرحلة الأولى أو المرحلة الثانية
  • إختبار حركة المرور
  • لا تزال حركة المرور الاختبارية تعمل بعد المرحلة الأولى أو المرحلة الثانية
  • يعمل إختبار حركة المرور 1 بعد إسترداد النفق
  • مع اكتشاف النظير الميت (DPD)2 (يتم تمكينه بشكل افتراضي)، تمت إعادة إنشاء النفق
PIX إلى VPN 5000
  • على PIX:
    • لا تزال حركة مرور الاختبار تعمل بعد مسح المرحلة الثانية
    • تعطل نفق VPN عند مسح المرحلة I SA
    • إختبار حركة المرور توقف عن العمل
  • على شبكة VPN 5000:
    • فشل النفق في الاسترداد بعد مسح SA يدويا
    • يجب مسح كل من المرحلة الأولى والمرحلة الثانية من SA على PIX لإعادة إنشاء النفق
  • حركة المرور التجريبية لا تزال تعمل بعد تعديل المرحلة الثانية
  • المرحلة الأولى من المجرى أنزلت النفق
  • إختبار حركة المرور توقف عن العمل
  • يجب مسح SAs يدويا لإعادة النفق مرة أخرى
  • يفشل نفق أن يسترد بعد reboot إما VPN أداة (مع ثنائي إتجاه إختبار حركة مرور)
  • إختبار حركة المرور توقف عن العمل
  • يجب مسح SA يدويا على الجهاز الذي لم تتم إعادة تشغيله لإعادة النفق مرة أخرى
شبكة VPN 3000 إلى VPN 5000
  • على شبكة VPN 3000:
    • يتم إسترداد النفق بعد مسح الجلسة يدويا
    • حركة المرور لا تزال تعمل
  • على شبكة VPN 5000:
    • يفشل النفق في إستعادة بعد مسح النفق يدويا
    • إختبار حركة المرور توقف عن العمل
    • يجب مسح SA على VPN 3000 لإعادة إنشاء النفق
  • لا تزال حركة المرور الاختبارية تعمل بعد المرحلة الأولى أو المرحلة الثانية
  • يفشل نفق أن يسترد بعد reboot من إما VPN أداة (مع ثنائي إتجاه إختبار حركة مرور)
  • إختبار حركة المرور توقف عن العمل
  • يجب مسح SA يدويا على الجهاز الذي لم تتم إعادة تشغيله لإعادة النفق مرة أخرى

1 كما هو موضح أعلاه، فإن حركة مرور الاختبار المستخدمة هي حزم ICMP ثنائية الإتجاه بين HostA و B. في إختبار إعادة تمهيد جهاز VPN، يتم إختبار حركة مرور البيانات أحادي الإتجاه أيضا لمحاكاة سيناريو أسوأ حالة (حيث تكون حركة مرور البيانات فقط من المضيف خلف جهاز VPN الذي لا تتم إعادة تحميله إلى جهاز VPN الذي تتم إعادة تمهيده). كما يمكن ملاحظته من الجدول، باستخدام IKE keepalive أو بروتوكول DPD، يمكن إسترداد نفق VPN من سيناريو أسوأ الحالات.

2 DPD هو جزء من بروتوكول الوحدة. حاليا هذا سمة فقط يتوفر على ال cisco VPN 3000 Concentrator مع برمجية صيغة 3.0 فما فوق وعلى ال PIX جدار حماية مع برمجية صيغة 6.0(1) فما فوق.

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
02-Feb-2006
الإصدار الأولي

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات