[信息与通信]2 NGX_2.ppt

NGX R60 技术介绍 议程 新的 VPN 模式和能力 新的安全增强 SecureClient 功能 SecurePlatform 升级 管理和升级 新的 VPN 功能 基于路由的 VPN VPN 域 基于路由和 VPN 隧道接口 根据路由绑定到一个或多个网关 加密决策 通过VPN隧道接口到达目的地 与其他连通性功能兼容 (双 ISP, MEP 等等) 平台 Nokia SecurePlatform Crossbeam VPN Tunnel Interface 概要 Point-to-Point 接口 作为进入 VPN 隧道的门户 VTI 在每个 VPN 网关上被创建 IP 路由控制流量进入VTI 进入 VTI 的流量将被加密 Numbered VTI ( SecurePlatform only ) VTI 被指派一个本地和远程地址 Unnumbered VTI ( Nokia only ) VTI 被绑定到一个 proxy 接口 VTI 配置 SecurePlatform 和 Crossbeam 通过 “vpn shell” CLI 添加，修改，删除和显示 VTI 接口 显示/删除 VPN 隧道的 SA’s for IKE 和/或 IPSec Nokia 通过 Voyager 接口定义 VTI 的使用 – 静态路由 动态 – 基于路由的 VPN 支持的协议 OSPF BGP 支持的平台 Crossbeam Nokia SecurePlatform 被用于和 VTI 结合 VTI 的使用 – 动态路由 动态路由 ClusterXL 与 ClusterXL 集成 Cluster 被看作为一个单独的路由器 FIB 的快速切换 没有 “Ripple Effect” 与 OSPF “Hitless Restart” BGP “Graceful Restart”集成 邻近的路由器将一个故障切换看作为一个“maintenance” 操作且不会报告给其他路由器 全面支持 Load-Sharing 基于路由的 VPN 常见问题 Q. 旧的基于域的 VPN 是否会受到影响？ A. 基于域的VPN不受影响 基于域的VPN 优先 Q. 必须使用动态路由吗? A. 不是 – 可以使用静态路由 Q. 与现有网络集成度如何？ A. 互操作设备被支持 与当前已有的使用动态路由协议的路由器集成 Q. 可以在一个 VPN 网关使用 numbered 的 VTI，而在另一个网关使用 unnumbered 的 VTI 吗? A. 可以 Wire Mode 为 VPN 故障切换提供增强功能 MEP 基于路由的 VPN 改变 VPN 路由 当一个数据包到达网关是，会被询问: 这个包是否来自于一个被信任的团体? 这个包是否要被送到一个被信任的团体或内部接口? 如果 是, 属于此连接的包将不被检查 如果 否,属于此连接的包将被检查 Wire Mode 配置 Wire Mode 配置 在团体中 在每个网关 在网关的每个接口 ‘Wire Mode Routing’ 配置 在团体中 在每个网关 永久隧道 一个隧道可以被设置为永久的: 在团体中的所有隧道 一个指定网关的所有隧道 一个指定的 VPN 隧道 监控 永久隧道会被不断的监控 如果 VPN 隧道中断, 会发出一个警告和日志记录 可以在 SmartView Monitor 中看到中断的隧道 在 SV Monitor呈现的隧道信息 原来的 SmartView Monitor 和 SmartView Status 在 NGX R60 中被统一到 SmartView Monitor 可以监控和维护隧道 隧道共享 新的隧道功能 每对主机 每对主机创建一个 VPN 隧道 每对子网 每对子网创建一个 VPN 隧道，相同子网共享相同的 VPN 隧道 每对网关 每对网关创建一个 VPN 隧道 链路选择概要 挑战 当对方有多个地址时智能选择对方的IP 当有多条路由通过不同接口均可到达对方时，选择本地外出接口 如何计算链路失败? 解析对方IP的方法 – “连接到什么 IP ?” 单一 IP 方法 主 IP 地址 为 VPN 保留的 IP 地址 多个 IP 方法 基于拓扑的计算 DNS 解析 RDP 探测 解析对方 IP 的方法 – RDP 探测方法 一次探测 只探测一次对方的 IP 第一个响应的 IP 获胜 直到一个新的策略被安装 外出探测 不断探测对方的IP 第一个响应的 IP 获胜 直到选定的 IP 停止响应 解析对方 IP 的方法 – RDP 探测方法 探测选项 : 探测所有 IP 探测选定的 IP 选择一个主要 IP 如果活跃就使用 如主IP失效，通过RDP