Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 7
Сам я не являюсь крупным специалистом в данной теме, поэтому прошу извинить, если что-то осветил не совсем точно
Если вы не специалист, то как вы можете судить о преимуществах и слабостях технологии? Есть ли ситуации, когда эта технология приведет к проблемам?
Конечно, практического опыта внедрения данной технологии у меня нет. Мое суждение о технологии основывается на анализе документации, публикаций и общении с системными инженерами Cisco.
Проблемы две:
1) несовместимость c IKEv1. При желании внедрить технологию придется переконфигурить много оборудования;
2) пока еще не полная готовность Cisco IOS. Как я написал в посте, не всякая IOS с заявленной поддержкой ikev2 корректно выполнит все варианты flex vpn взаимодействий. Т.е. что-то, например site-to-site, работать будет, а что-то, например spoke-to-spoke — нет. Без каких-либо объективных причин.
Чтобы не соврать, не буду приводить конкретные примеры с версией IOS и что конкретно не работало, но это реальная ситуация.
Проблемы две:
1) несовместимость c IKEv1. При желании внедрить технологию придется переконфигурить много оборудования;
2) пока еще не полная готовность Cisco IOS. Как я написал в посте, не всякая IOS с заявленной поддержкой ikev2 корректно выполнит все варианты flex vpn взаимодействий. Т.е. что-то, например site-to-site, работать будет, а что-то, например spoke-to-spoke — нет. Без каких-либо объективных причин.
Чтобы не соврать, не буду приводить конкретные примеры с версией IOS и что конкретно не работало, но это реальная ситуация.
FlexVPN не совместим с Cisco VPN Client. Только AnyConnect.
Ну и в общем — Cisco далее не собирается поддерживать VPN Client, переходя полностью именно на AnyConnect.
Ну и в общем — Cisco далее не собирается поддерживать VPN Client, переходя полностью именно на AnyConnect.
А FlexVPN поддерживается сейчас только оборудованием cisco? Это их проприетарная разработка?
Ну несколько комментариев.
По введению. По тому, как написано, складывается впечатление, что ESP и AH друг друга дополняют, т.е AH аутентифицирует, а ESP шифрует. На деле все не так и это два самостоятельных протокола. И как правило используется либо ESP либо AH (что врядли и кому это надо?). Можно, конечно вместе, но это совсем редкость.
Далее. SA — это не протоколы, а массивы данных. Т.е., IKE отработал, определил какие алгоритмы шифрования, и хеширования будут использоваться и сгенерировал сами ключи для шифрования и хеширования. Так вот, весь этот массив данных, описывающий протоколы и содержащий действующую в настоящий момент ключевую информацию — называется SA. SA — часть control-plane. В самих же зашифрованных пакетах содержится SPI — security parameter index. Определенный SPI соответствует определенному SA. Когда роутер видит пакет с SPI1 он знает, что его нужно обработать с помощью SA1.
Задача IKEv2 — установить защищенное соединение, т.е. построить SA.
В остальном, на мой взгляд достаточно поверхностно и отрывочно, но для общего ознакомления может быть полезно.
По введению. По тому, как написано, складывается впечатление, что ESP и AH друг друга дополняют, т.е AH аутентифицирует, а ESP шифрует. На деле все не так и это два самостоятельных протокола. И как правило используется либо ESP либо AH (что врядли и кому это надо?). Можно, конечно вместе, но это совсем редкость.
Далее. SA — это не протоколы, а массивы данных. Т.е., IKE отработал, определил какие алгоритмы шифрования, и хеширования будут использоваться и сгенерировал сами ключи для шифрования и хеширования. Так вот, весь этот массив данных, описывающий протоколы и содержащий действующую в настоящий момент ключевую информацию — называется SA. SA — часть control-plane. В самих же зашифрованных пакетах содержится SPI — security parameter index. Определенный SPI соответствует определенному SA. Когда роутер видит пакет с SPI1 он знает, что его нужно обработать с помощью SA1.
Задача IKEv2 – обеспечить аутентифицированное согласование ключей в рамках фреймворка ISAKMP
Задача IKEv2 — установить защищенное соединение, т.е. построить SA.
В остальном, на мой взгляд достаточно поверхностно и отрывочно, но для общего ознакомления может быть полезно.
Жалко что не отметили DMVPN, он всё таки достаточно часто и много где используется. Про FlexVPN как-то давно ничего не встречал, поделитесь, кто использует?
не в ту новость написал
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Коротко и ясно: Flex VPN