0
点赞
收藏
分享

微信扫一扫

Cisco SVTI技术

技术背景

IPSEC数据流处理

为了学习SVTI技术需要回顾IPSEC数据流的处理过程

 假设inside1一台PC源2.2.2.2要访问目的1.1.1.1,数据抵达了路由器,首先检查路由表发现1.1.1.0 via是7.7,3.254
要从2号标识口出去,由于部署了crypto-map数据流会撞击上然后进行重封装,数据流变成密文加上ESP头部和ESP尾部、ESP认证
再从2号口转发出去

通信点和解密点依据预选提议加解密,建立虚拟隧道放行流量到达目的点,没有虚拟隧道接口概念

Cisco SVTI技术_路由协议

思科主推主模式,华为主推野蛮模式

Cisco SVTI技术_封装_02

IPSEC数据流问题

这样的IPSEC数据流要面临的问题:

  1. 两者之间没有虚拟隧道接口,不能对站点之间的通信流量进行更好地控制(QOS)
  2. 两者之间没有虚拟隧道接口,不能让站点的路由协议互通不支持组播传输(如OSPF、RIP等),不利于多种路由协议
  3. 感兴趣流太多,配置管理麻烦,每个网段需要去匹配对方的网段(不规则的情况,规则的话VLSM技术一条覆盖)

解决办法

基于GRE OVER IPSEC技术

  1. 部署GRE隧道有了虚拟接口,可以运行路由协议并由GRE封装
  2. 可以做流量控制
  3. 感兴趣流只要对站点的隧道流量进行匹配,而不是感兴趣流之间互相匹配,简化了IPSEC步骤

基于VTI技术(分为SVTI和DVTI)

和GRE OVER IPSEC一样,解决标准IPSEC数据流三个问题。不同的是IPSEC无需依赖GRE,直接用IPSEC创建一个虚拟隧道接口

SVTI技术

技术比较

Cisco SVTI技术_路由协议_03


举报

相关推荐

0 条评论