简介
本文档报告不同Cisco VPN产品之间在不同场景(如VPN设备重启、密钥重新生成和IPSec安全关联(SA)手动终止)下IP安全(IPSec)LAN到LAN隧道重新协商的实验测试结果。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
思科IOS®软件版本12.1(5)T8
-
思科PIX软件版本6.0(1)
-
思科VPN 3000集中器软件版本3.0(3)A
-
Cisco VPN 5000 集中器软件版本 5.2(21)
本测试中使用的IP流量是主机A和主机B之间的双向互联网控制消息协议(ICMP)数据包。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
网络图
这是试验台的概念图。
VPN设备代表Cisco IOS路由器、Cisco Secure PIX防火墙、Cisco VPN 3000集中器或Cisco VPN 5000集中器。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
测试方案
测试了三种常见场景。以下是测试场景的简要定义:
-
手动终止IPSec SA — 用户登录VPN设备并使用命令行界面(CLI)或图形用户界面(GUI)手动清除IPSec SA。
-
Rekey — 当定义的生命期到期时,正常IPSec阶段I和阶段II重新生成密钥。在本测试中,两个VPN终端设备配置了相同的阶段I和阶段II寿命。
-
VPN device reboot - VPN隧道终止点的任一端已重新启动以模拟服务中断。
注意:对于使用VPN 5000集中器的LAN到LAN隧道,使用MAIN模式和隧道响应器配置集中器。
测试结果
| 设置 | 手动终止IPSec SA | 重新生成密钥 | VPN设备重新启动 |
|---|---|---|---|
| IOS到PIX |
|
|
|
| IOS到VPN 3000 |
|
|
|
| IOS到VPN 5000 |
|
|
|
| PIX到VPN 3000 |
|
|
|
| PIX到VPN 5000 |
|
|
|
| VPN 3000到VPN 5000 |
|
|
|
1如上所述,使用的测试流量是主机A和主机B之间的双向ICMP数据包。在VPN设备重启测试中,还测试单向流量以模拟最坏情况(其中流量仅来自VPN设备后面的主机,而不是重新启动到VPN设备的主机)。 从表中可以看到,使用IKE保活或DPD协议时,VPN隧道可以从最坏情况下恢复。
2 DPD是Unity协议的一部分。目前,此功能仅在软件版本为3.0及更高版本的Cisco VPN 3000集中器和软件版本为6.0(1)及更高版本的PIX防火墙上可用。