當(dāng)分支機(jī)構(gòu)和公司總部成功建立了IPSec隧道后,可能由于鏈路狀態(tài)變化,分支機(jī)構(gòu)網(wǎng)關(guān)應(yīng)用安全策略組的接口IP地址發(fā)生改變(如分支機(jī)構(gòu)網(wǎng)關(guān)通過(guò)撥號(hào)接入Internet與總部建立IPSec隧道的情況下)。但在此之前,總部網(wǎng)關(guān)已存在一條IPSec隧道保護(hù)總部網(wǎng)關(guān)與分支機(jī)構(gòu)網(wǎng)關(guān)(原有用戶)相互訪問(wèn)的流量,此時(shí)由于新舊IPSec隧道所保護(hù)的數(shù)據(jù)流相同而導(dǎo)致的沖突,會(huì)使分支機(jī)構(gòu)無(wú)法與總部再建立一條新的IPSec隧道,這樣分支機(jī)構(gòu)網(wǎng)關(guān)(新用戶)與總部網(wǎng)關(guān)無(wú)法快速重新建立IPSec隧道,兩者之間的流量無(wú)法受到安全保護(hù)。這時(shí),可以通過(guò)配置保護(hù)相同數(shù)據(jù)流的新用戶快速接入總部功能,使分支機(jī)構(gòu)網(wǎng)關(guān)與總部網(wǎng)關(guān)之前建立的IPSec SA迅速老化,以重新建立IPSec隧道。
該功能的實(shí)現(xiàn)必須具備以下前提條件。
總部網(wǎng)關(guān)作為IPSec協(xié)商響應(yīng)方,且采用策略模板方式與分支機(jī)構(gòu)網(wǎng)關(guān)建立IPSec隧道。
新用戶配置的ACL規(guī)則必須與原有用戶配置的ACL規(guī)則完全一致。
新用戶接入總部網(wǎng)關(guān)時(shí)使用的接口與原有用戶使用的接口必須是總部網(wǎng)關(guān)上的同一接口。
配置保護(hù)相同數(shù)據(jù)流的新用戶快速接入總部功能的方法也很簡(jiǎn)單,只需在系統(tǒng)視圖下執(zhí)行ipsec remote traffic-identical accept命令,使能保護(hù)相同數(shù)據(jù)流的新用戶接入總部功能即可。缺省情況下,未使能保護(hù)相同數(shù)據(jù)流的新用戶接入總部功能,可用undo ipsec remote traffic-identical accept命令去使能保護(hù)相同數(shù)據(jù)流的新用戶快速接入總部功能。