</p>Cooperative Key Server
1 U1 a6 w( h) x! m' tPrimary: 接受GM注册,产生密钥,分发密钥,通知Secondary KS (密钥是同步的),发送Rekey。* _$ P3 k/ T! q# { d
Secondary: 接受GM注册,检测Primary KS是否存在,通知Primary KS新的GM,不发送Rekey。
' S; K; j5 D' c6 d注意:Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的,建议要把两者的policy配置成相同的。# y$ ~4 L, I- _. M0 ]/ Z
两种Anti-Replay 技术:) K ], d; O# [, z% t
1。 Counter-Based Anti-Replay : 只适用于连个GM的环境(点对点)
( m( t2 n+ b# r2。 Time-Based Anti-Replay : 适用于多个GM环境(点对多点)3 @1 R7 @: c7 R6 \5 ?
GET VPN感兴趣流ACL:3 O0 R& }0 W3 h& f' w
1。建议适用可归纳的网段(如10.1.1.0,10.1.2.0,10.1.3.0等),只需要配置一条ACL:
, Z5 k* j9 M& x# o" r3 |9 B 如:access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.2558 o# }7 Q& w) _
2。 如果网络不能归纳(如10.1.1.0,172.16.1.0)需要配置两条ACL,每个方向一条:7 g) v9 i0 t& I9 Y( S
如:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
! Q& b1 q/ r2 x. Y8 { access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
, ~ t6 f. |- Z3。 GM上可以配置GM ACL,只能配置deny条目,优先于从key Server上下载的感兴趣流
$ t: U0 k5 {- Q$ F3 A5 U1 \' e 如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255- d m5 H( ?# J! w! v# c5 R1 l( U
GET VPN配置步骤回顾:
- L& j' P T X1。全网可路由
, ^2 V$ m( {3 p/ C, a. {# m2。在KS上产生和导出密钥(KS1)1 v2 o: C, U+ W/ z
3。配置ISAKMP Policy (KS1,KS2,GM)
) l% `0 E! Z; \7 d4。配置IPSec Profile (KS1,KS2)
' [: v2 N; R' m) ]+ V5。KS基本配置(KS1,KS2)中华考试网# B9 p* F# O/ X. a
6。Rekey参数设置(KS1)* A9 G- o" A, F* e2 q; I" V
7。配置IPSEC SA策略(KS1,KS2)% q# w) L- ^2 k6 {' h6 s: _
8。GM配置crypto map
0 O" O+ p$ z; u8 C& {) q9。配置coop key Server(KS1,KS2) |