站点到站点 IPSEC vpn 是否需要始终在线连接？

Question

您可以进行机会加密（即仅在需要时启动隧道），但需要注意以下几点：

你需要积极维护访问列表，以确定哪些流量被视为“有趣”
您必然会导致路由抖动，因为路径在您的 RIB 中出现和消失，然后通过您用于路由器之间通信的任何路由协议在两个站点之间传播；阻尼将是您的朋友，可以防止慢慢混淆和烧毁您的路由器
您的监控学科必须成熟，因为您不能再只看“隧道接口是否启动？”，您需要查看“隧道接口是否启动，我是否期望它启动？”
最后，由于隧道初始化时间，您只需要使用机会加密来提供可靠的服务，因为在等待隧道形成和远端路由可用时，通信的第一个数据包可能会超时或丢失
为了缓解其中的大部分问题，请将其配置为在最后一个“有趣”的数据包之后保持几分钟，因此如果另一个“有趣”的对话随后不久开始，那么您已经有了一条路径。

找到一本旧的思科 BCRAN 教科书并了解按需拨号路由的含义也许不会有什么坏处；这本质上是同一件事，只是使用加密而不是 PSTN/ISDN。

出于好奇，关闭隧道接口并仅在需要时建立隧道的驱动因素是什么？由于隧道本质上是免费的（不像旧的 PSTN/ISDN/PRI 那样按分钟收费），因此将其固定并定期使用心跳线来保持其运行在维护和支持方面可能更便宜。

Answer 1

您可以进行机会加密（即仅在需要时启动隧道），但需要注意以下几点：

你需要积极维护访问列表，以确定哪些流量被视为“有趣”
您必然会导致路由抖动，因为路径在您的 RIB 中出现和消失，然后通过您用于路由器之间通信的任何路由协议在两个站点之间传播；阻尼将是您的朋友，可以防止慢慢混淆和烧毁您的路由器
您的监控学科必须成熟，因为您不能再只看“隧道接口是否启动？”，您需要查看“隧道接口是否启动，我是否期望它启动？”
最后，由于隧道初始化时间，您只需要使用机会加密来提供可靠的服务，因为在等待隧道形成和远端路由可用时，通信的第一个数据包可能会超时或丢失
为了缓解其中的大部分问题，请将其配置为在最后一个“有趣”的数据包之后保持几分钟，因此如果另一个“有趣”的对话随后不久开始，那么您已经有了一条路径。

找到一本旧的思科 BCRAN 教科书并了解按需拨号路由的含义也许不会有什么坏处；这本质上是同一件事，只是使用加密而不是 PSTN/ISDN。

出于好奇，关闭隧道接口并仅在需要时建立隧道的驱动因素是什么？由于隧道本质上是免费的（不像旧的 PSTN/ISDN/PRI 那样按分钟收费），因此将其固定并定期使用心跳线来保持其运行在维护和支持方面可能更便宜。

相关内容