Renegociação de configurações de LAN para LAN entre Cisco VPN Concentrators, Cisco IOS e dispositivos PIX
Contents
Introduction
Este documento relata os resultados do teste de laboratório da renegociação de túnel LAN para LAN de Segurança IP (IPSec - IP Security) entre diferentes produtos Cisco VPN em vários cenários, como reinicialização de dispositivo VPN, rechaveamento e terminação manual de associações de segurança (SAs - Security Association) IPSec.
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Software Cisco IOS® versão 12.1(5)T8
-
Software Cisco PIX versão 6.0(1)
-
Software Cisco VPN 3000 Concentrator versão 3.0(3)A
-
Software Cisco VPN 5000 Concentrator versão 5.2(21)
O tráfego IP usado neste teste são pacotes bidirecionais do Internet Control Message Protocol (ICMP) entre o host A e o host B.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Diagrama de Rede
Este é um diagrama de conceito do campo de teste.
Os dispositivos VPN representam um roteador Cisco IOS, um Cisco Secure PIX Firewall, um Cisco VPN 3000 Concentrator ou um Cisco VPN 5000 Concentrator.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Cenários de teste
Três cenários comuns foram testados. Veja a seguir uma breve definição dos cenários de teste:
-
Terminação manual de SAs de IPSec—O usuário faz logon nos dispositivos VPN e limpa manualmente as SAs de IPSec usando a interface de linha de comando (CLI) ou a interface gráfica do usuário (GUI).
-
Rekey — chave de fase I e II do IPSec normal quando o tempo de vida definido expira. Neste teste, os dois dispositivos de terminação VPN têm a mesma fase I e a fase II configuradas.
-
Reinicialização do dispositivo VPN — Qualquer extremidade dos pontos de terminação do túnel VPN foi reinicializada para simular a interrupção do serviço.
Observação: para túneis LAN a LAN em que o VPN 5000 Concentrator é usado, o concentrador é configurado usando o modo MAIN e o respondedor de túnel.
Resultados do teste
| Instalação | Terminação manual de SAs IPSec | Rekey | Reinicialização do dispositivo VPN |
|---|---|---|---|
| IOS para PIX |
|
|
|
| IOS para VPN 3000 |
|
|
|
| IOS para VPN 5000 |
|
|
|
| PIX para VPN 3000 |
|
|
|
| PIX para VPN 5000 |
|
|
|
| VPN 3000 para VPN 5000 |
|
|
|
1 Conforme descrito acima, o tráfego de teste usado é de pacotes ICMP bidirecionais entre hostA e hostB. No teste de reinicialização do dispositivo VPN, o tráfego unidirecional também é testado para simular o pior cenário (onde o tráfego é somente do host por trás do dispositivo VPN que não é reinicializado para o dispositivo VPN que é reinicializado). Como pode ser visto na tabela, com o IKE keepalive ou com o protocolo DPD, o túnel VPN pode ser recuperado do pior cenário possível.
2 DPD faz parte do protocolo Unity. Atualmente, esse recurso está disponível somente no Cisco VPN 3000 Concentrator com versão de software 3.0 e superior e no PIX Firewall com versão de software 6.0(1) e superior.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
02-Feb-2006 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)