Neuaushandeln von LAN-zu-LAN-Konfigurationen zwischen Cisco VPN Concentrators, Cisco IOS und PIX-Geräten

Download-Optionen

  • PDF     (96.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (95.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (90.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. Februar 2006
Dokument-ID:14111

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument werden die Labortestergebnisse der Neuaushandlung von IP Security (IPSec)-LAN-zu-LAN-Tunneln zwischen verschiedenen Cisco VPN-Produkten in verschiedenen Szenarien beschrieben, z. B. Neustarts von VPN-Geräten, erneutes Auftreten und manuelle Beendigung von IPSec-Sicherheitszuordnungen (SAs).

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Cisco IOS® Softwareversion 12.1(5)T8

  • Cisco PIX Softwareversion 6.0(1)

  • Cisco VPN 3000 Concentrator Software Version 3.0(3)A

  • Cisco VPN 5000 Concentrator-Software, Version 5.2(21)

Bei dem in diesem Test verwendeten IP-Datenverkehr handelt es sich um bidirektionale ICMP-Pakete (Internet Control Message Protocol) zwischen HostA und HostB.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Netzwerkdiagramm

Dies ist ein Konzeptdiagramm der Testumgebung.

renegotiate.gif

VPN-Geräte stellen einen Cisco IOS-Router, eine Cisco Secure PIX Firewall, einen Cisco VPN 3000 Concentrator oder einen Cisco VPN 5000 Concentrator dar.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Testszenarien

Es wurden drei gängige Szenarien getestet. Im Folgenden finden Sie eine kurze Definition der Testszenarien:

  • Manuelle Terminierung von IPSec SAs - Der Benutzer meldet sich bei den VPN-Geräten an und löscht die IPSec SAs manuell über die Befehlszeilenschnittstelle (CLI) oder die grafische Benutzeroberfläche (GUI).

  • Rekey - Normale IPSec-Phasen I und II rekey, wenn die definierte Lebensdauer abläuft. In diesem Test ist für die beiden VPN-Terminierungsgeräte dieselbe Lebensdauer für Phase I und Phase II konfiguriert.

  • Neustart des VPN-Geräts - Beide Endpunkte des VPN-Tunnels wurden neu gestartet, um einen Service-Ausfall zu simulieren.

Hinweis: Bei LAN-to-LAN-Tunneln, in denen der VPN 500-Konzentrator verwendet wird, wird der Konzentrator mithilfe des MAIN-Modus und des Tunnel-Responders konfiguriert.

Testergebnisse

Einrichtung Manuelle Beendigung von IPSec SAs Umschalten Neustarten von VPN-Geräten
IOS zu PIX
  • Tunnel, der nach Phase I oder Phase II SA wiederhergestellt wird, wird auf beiden Seiten gelöscht
  • Testdatenverkehr funktioniert
  • Der Testdatenverkehr funktioniert nach Phase I oder Phase II-Neustart weiterhin
  • Bei aktivierter IKE-Keepalive-Funktion auf beiden Geräten wurde Tunnel wiederhergestellt.
  • Testen des Datenverkehrs1 nach der Tunnelwiederherstellung
IOS zu VPN 300
  • Tunnel, der nach Phase I oder Phase II SA wiederhergestellt wird, wird auf beiden Seiten gelöscht
  • Testdatenverkehr funktioniert
  • Der Testdatenverkehr funktioniert nach Phase I oder Phase II-Neustart weiterhin
  • Bei aktivierter IKE-Keepalive-Funktion auf beiden Geräten wurde Tunnel wiederhergestellt.
  • Testen des Datenverkehrs1 nach der Tunnelwiederherstellung
IOS zu VPN 500
  • IOS:
    • Testdatenverkehr funktioniert nach der Freigabe der Phase II SA noch
    • Der VPN-Tunnel fällt aus, wenn Phase I SA gelöscht wird.
    • Test-Datenverkehr stoppt
  • Auf VPN 5000:
    • Tunnel kann nach dem manuellen Löschen des SA nicht wiederhergestellt werden
    • Löschen sowohl Phase I als auch Phase II SA auf IOS, um Tunnel wiederherzustellen
  • Testdatenverkehr funktioniert nach Phase II-Neustart weiterhin
  • Phase I rekey führte den Tunnel herunter
  • Test-Datenverkehr stoppt
  • SAs müssen manuell gelöscht werden, um den Tunnel wieder zurückzusetzen.
  • Tunnel kann nach dem Neustart eines VPN-Geräts (mit bidirektionalem Testdatenverkehr) nicht wiederhergestellt werden
  • Test-Datenverkehr stoppt
  • Die SA auf dem Gerät, das nicht neu gestartet wurde, muss manuell gelöscht werden, um den Tunnel zurückzusetzen.
PIX zu VPN 300
  • Tunnel, der nach Phase I oder Phase II SA wiederhergestellt wird, wird auf beiden Seiten gelöscht
  • Testdatenverkehr funktioniert
  • Der Testdatenverkehr funktioniert nach Phase I oder Phase II-Neustart weiterhin
  • Testen des Datenverkehrs1 nach der Tunnelwiederherstellung
  • Dead Peer Detection (DPD)2 (standardmäßig aktiviert), Tunnel wieder hergestellt
PIX zu VPN 5000
  • Auf PIX:
    • Testdatenverkehr funktioniert nach der Freigabe der Phase II SA noch
    • Der VPN-Tunnel ist ausgefallen, wenn Phase I SA gelöscht wird.
    • Test-Datenverkehr stoppt
  • Auf VPN 5000:
    • Tunnel kann nach manueller Freigabe von SA nicht wiederhergestellt werden
    • Löschen sowohl Phase I als auch Phase II SA auf PIX, um Tunnel wiederherzustellen
  • Testdatenverkehr funktioniert nach Phase II-Neustart weiterhin
  • Phase I rekey führte den Tunnel herunter
  • Test-Datenverkehr stoppt
  • SAs müssen manuell gelöscht werden, um den Tunnel wieder zurückzusetzen.
  • Tunnel kann nach dem Neustart eines VPN-Geräts (mit bidirektionalem Testdatenverkehr) nicht wiederhergestellt werden
  • Test-Datenverkehr stoppt
  • Die SA auf dem Gerät, das nicht neu gestartet wurde, muss manuell gelöscht werden, um den Tunnel zurückzusetzen.
VPN 3000 zu VPN 5000
  • Auf VPN 3000:
    • Tunnel wird wiederhergestellt, nachdem die Sitzung manuell gelöscht wurde
    • Datenverkehr funktioniert noch
  • Auf VPN 5000:
    • Tunnel kann nach manuellem Löschen des Tunnels nicht wiederhergestellt werden
    • Test-Datenverkehr stoppt
    • SA auf VPN 300 muss gelöscht werden, um Tunnel wiederherzustellen
  • Testdatenverkehr funktioniert nach Phase I oder Phase II-Recey noch
  • Tunnel kann nach Neustart eines der VPN-Geräte (mit bidirektionalem Testdatenverkehr) nicht wiederhergestellt werden
  • Test-Datenverkehr stoppt
  • Die SA auf dem Gerät, das nicht neu gestartet wurde, muss manuell gelöscht werden, um den Tunnel zurückzusetzen.

1 Wie oben beschrieben, wird für den Testdatenverkehr bidirektionale ICMP-Pakete zwischen HostA und HostB verwendet. Beim Neustart des VPN-Geräts wird auch unidirektionaler Datenverkehr getestet, um das Worst-Case-Szenario zu simulieren (bei dem der Datenverkehr nur vom Host hinter dem VPN-Gerät stammt, das nicht zum neu startenden VPN-Gerät neu gestartet wird). Wie aus der Tabelle ersichtlich, kann der VPN-Tunnel mit IKE-Keepalive oder mit dem DPD-Protokoll aus dem schlimmsten Fall wiederhergestellt werden.

2 DPD ist Teil des Unity-Protokolls. Diese Funktion ist derzeit nur auf dem Cisco VPN 300 Concentrator mit Softwareversion 3.0 und höher und auf der PIX-Firewall mit Softwareversion 6.0(1) und höher verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
02-Feb-2006
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren