更改 IPSec 预共享密钥而不关闭隧道(太长)

更改 IPSec 预共享密钥而不关闭隧道(太长)

您建议如何更改 IPSec L2L VPN 预共享密钥以最大程度地减少停机时间?是否有任何神奇的公式或最佳实践,或者您只是尝试尽可能在两端进行更改?

答案1

您没有提到您正在使用的实现,所以我不能说得太具体。但是,PSK 仅用于初始身份验证和会话密钥管理。此后,它再也不会使用(重新连接除外,这实际上只是开始一个新会话)。有些实现允许您在不重新启动守护进程的情况下更改 PSK,而其他实现则不允许。

如果您必须定期更改它,那么您可能不应该使用 PSK;您应该使用证书。

相关内容