Comprendiendo los métodos para ofrecer confiabilidad a las conexiones IPSec

Última respuesta Sep 05, 2019 09:37:50 354 1 2 0

Hola amigos del foro. En esta ocasión les traigo un tema muy interesante y tiene que ver en la forma que aseguremos que los enlaces o túneles que se crean con IPSec estén disponibles todo el tiempo. Existen diferentes métodos para lograr esto y son los siguientes:


IPSec Intelligent Link Selection

Link Redundancy

IPSec Host Standby

IPSec Cluster

Aplicación y mecanismo de IPSec en redes de transición


Iniciemos la descripción de los métodos anteriormente enunciados para una mejor comprensión. Pasemos a la información.


IPSec Intelligent Link Selection

Cuando el FW sirve como puerta de enlace en una sucursal, puede implementar cambios dinámicos entre múltiples túneles IPSec utilizando la selección de enlace inteligente IPSec.


La función IPSec Intelligent Link Selection se puede usar en dos escenarios basados en el mecanismo de cambio de enlace. Uno es cambiar el enlace en función del resultado de la prueba de calidad del enlace, y el otro es cambiar el enlace en función del cambio de estado de la ruta.


Cambio de enlace basado en el resultado de la prueba de calidad de enlace

Como se muestra en la Figura 1, los gateways entre los que se pueden establecer túneles IPSec tienen múltiples interfaces WAN. Y hay múltiples enlaces confiables entre los gateways. Se requiere IPSec Intelligent Link Selection para habilitar FW_B en la rama para implementar cambios dinámicos entre múltiples túneles IPSec. Después de establecer un túnel IPSec sobre un enlace, los gateways detectan el retraso o la relación de pérdida de paquetes del túnel IPSec en tiempo real. Si el retraso o la tasa de pérdida de paquetes exceden los umbrales establecidos, los gateways utilizan automáticamente un enlace de respaldo para establecer otro túnel IPSec y cambiar el tráfico a este túnel.


Figura 1 IPSec Intelligent Link Selection

161858c2w25vdw5ust85n9.png?image.png

Después de configurar IPSec Intelligent Link Selection en el FW_B, FW_B selecciona un enlace para establecer un túnel IPSec y luego envía paquetes ICMP para detectar el retraso o la tasa de pérdida de paquetes en el túnel IPSec. Si la tasa de retraso o pérdida de paquetes es mayor que el umbral configurado, FW_B elimina el túnel IPSec actual y selecciona otro enlace para establecer un túnel IPSec. FW_B continúa detectando el retraso o la tasa de pérdida de paquetes en el nuevo túnel. Si la tasa de retraso o pérdida de paquetes sigue siendo mayor que el umbral configurado, FW_B continúa cambiando a otro enlace hasta que la tasa de retraso y pérdida de paquetes esté dentro del rango normal o el número de ciclos de conmutación alcance el umbral superior. De esta manera, IPSec Intelligent Link Selection garantiza una comunicación IPSec de calidad entre la sucursal y la oficina central.


Cambio de enlace basado en el cambio de estado de ruta

Como se muestra en la Figura 2, el Enlace 1 y el Enlace 2 existen entre el gateway de la sucursal FW_B y el gateway de la oficina central FW_A, y un protocolo de enrutamiento dinámico (OSPF como ejemplo) se ejecuta entre FW_B e Internet. Configure IPSec Intelligent Link Selection en FW_B para implementar cambios dinámicos entre múltiples túneles IPSec entre la sucursal y la oficina central.


Cuando tanto el Enlace 1 como el Enlace 2 son normales, FW_B selecciona un enlace para establecer un túnel IPSec. En este ejemplo, se selecciona el enlace 1. Cuando el enlace 1 falla, la ruta a FW_A a través del enlace 1 desaparece, y FW_B encuentra un enlace en standby 2 basado en el costo de la ruta y restablece un túnel IPSec con FW_A.


Figura 2. Cambio de enlace basado en el cambio de estado de la ruta

161933nqc1rnctcy890qjq.png?image.png


Como se ha explicado utilizando IPSec Intelligent Link Selection aseguramos que la disponibilidad de nuestros túneles y eso permitirá que la experiencia de usuario al utilizar la red sea la mejor.


De momento no detendremos aquí pero no se pierdan las siguientes publicaciones sobre este interesante tema.


Saludos.


FIN                                  


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Hemingway
Moderador Publicado 2019-9-5 09:37:50 Útil(0) Útil(0)
Excelente publicación! Muy buena explicación de un tema tan importante que compete a diversas áreas en el mundo de la informática.

Saludos Comprendiendo los métodos para ofrecer confiabilidad a las conexiones IPSec-3054205-1
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje