移动网络如此广泛地传播，使得它们支持大量的今天的语音和数据通信。网络提供的一些服务对于服务的性质（紧急呼叫）或者由于它们给运营商带来的高收入是关键。这些服务对网络可用性提出了严格的要求，因此对运营商来说至关重要。

此外，对于某些服务的用户质量期望与有线业务在呼叫中断和下载时间方面是相同的。语音呼叫用户肯定不愿意等待几十秒以使网络恢复服务，因此呼叫将被用户终止。

此外，长休息可能导致更高层协议计时器触发恢复操作、不稳定的网络行为或网络重新启动，这甚至进一步延迟服务恢复。

从终端用户的角度来看，弹性需求在很大程度上独立于所讨论的无线电技术。然而技术拥有的容量越多，提供可靠网络就越重要。

当定义移动回传的可用性目标并因此确定安全解决方案的可用性目标时，需要考虑这些因素。精确的数字符合运营商定义的服务可用性目标，但是与传统数据通信网络相比，肯定容忍故障的时间要短得多。

回传链路以及网络设备的弹性应该被考虑。回传网络的弹性在第7章讨论过。

网络弹性在上下文中，主要是指在SEG内，通过在现场中部署冗余设备获得。如果其中一个设备发生故障，业务被现场中的另一些设备接管。根据设备的能力以及目标服务中断持续时间，存在用于服务恢复的不同方法。在下面的弹性讨论中，认为VPN到BTS中止。然而，对于具有外部SEG的小区站点，可以得出相同的结论。

用于服务恢复的一种可能的方法是一旦活动SEG关闭，客户端（BTS）将触发恢复动作。BTS将使用诸如DPD的机制来监视SEG可用性，并且由于在回传上进行监视，因此也考虑回传可用性。因此，这种方法可以防止某些传输故障。一旦检测到故障，BTS将从备份设备列表中选择一个SEG，并重新建立所有的SA。

另一方面，这种方法提出了显著的缺点，即BTS通常通过使用诸如DPD的机制首先检测到活动SEG失效。为了不给网络加载过多的监视业务，检测机制相当慢，所以故障检测可能需要从几秒到几分钟的任何时间，这取决于实现和配置的定时器。另外，取决于SA的数量和SEG的性能，SA的重建将花费几秒的数量级的额外时间。总之，中断周期足够长，以使所有语音呼叫掉线。

此外，还可能的是，BTS中的上层将检测到控制平面和管理平面连接断开，并且可以开始恢复动作。通常的恢复动作之一是BTS的重启，这导致延长的中断。此方案如图9.21所示。

图9.21 BTS发起的服务重建

如果故障检测被缩短，中断时间可以大大减少。代替依靠BTS来检测故障，SEG可以使用快速轮询机制来监视彼此的可用性，并且在故障检测时，发起所有连接的重新建立。由于轮询是本地执行的并且仅监视少量设备，所以业务量是不相关的。如果SEG配置有BTS的标识（IP地址），则它们将重新建立VPN。

然而，SEG可能被配置为没有BTS的身份，使得当添加新BTS时，策略不需要被更新，使得VPN的管理更容易和可扩展性更好。在这种情况下，SEG仅能够接受来自BTS的输入IKE请求，而不是发起连接本身。此外，备份SEG不预先知道哪些连接已经在活动SEG中建立，因此它们不能自己恢复连接。(www.daowen.com)

另一种弹性方法是对于现场中的两个不同的SEG每个BTS配两个冗余隧道。要使用哪个隧道的选择将由BTS基于标准路由技术来完成，并且对隧道的可用性的监视将留给路由协议。服务的恢复将再次取决于BTS和SEG能够检测到其中一条路径是否断开的速度。通常，路由协议不能非常快地检测故障。然而当它们与快速检测协议（例如BFD^[32]）组合时，故障检测可以在几秒或更少时间内执行。

要考虑的这种方法的一个方面是许多路由算法通过广播或多播广告和监视分组来操作。虽然当手动建立SA（通过管理接口）时，IPsec可以进行广播和多播，但IKE不支持这种可能性，因此只能点对点连接。这个限制可以通过在IPsec的顶部使用GRE封装来克服。这样，IKE只需要处理GRE隧道（点对点），而路由通告和监视数据包在GRE隧道内透明传输（见图9.22）。

图9.22 路由方法的服务恢复

在该方法中考虑的另一方面是BTS的寻址变得更复杂。而在其他方法中，业务端点地址可以与隧道端点地址相同，在这种情况下，它们需要不同，以使得在BTS处的可能要使用路由。BTS寻址的一种可能的配置是使用网络接口地址作为隧道地址，以及用于业务的环回地址。

从BTS的角度来看，附带的和方便的方法是完全依赖SEG来恢复服务而没有来自BTS的任何动作，并且对于终端用户这具有最小的影响。从前面看到，如果缺少已经建立了哪些连接的信息，则由备份SEG重新建立连接可能是不可行的。在状态故障转移的情况下，在SEG之间存在同步连接，使得备份SEG用维持IKESA和IPsecSA向上所需的状态信息连续更新。它们还共享用于隧道终止的虚拟IP地址。因此，当检测到故障时，SA被切换到备份SEG之一，并且BTS不知道故障切换（见图9.23）。如果故障检测和故障转移足够快，对最终服务的影响也可能很小。这种方法的性能应该在几秒钟范围内。

图9.23 通过使用带状态故障切换来恢复服务

为了发挥带状态故障转换功能，两个SEG还应当同步其路由状态，配置它们作为虚拟路由器。这可以通过使用HSRP/VRRP来实现。两个SEG将共享相同的虚拟IP地址，但只有一个是转发流量。当检测到故障时，VPN和路由功能都被切换到备份SEG，备份SEG将向网络邻居通告IP地址已经被切换。

完全不同的方法是不配有冗余的系统，而是通过在多个设备之间共享负载来减轻SEG故障的影响。一个SEG的故障将使所有连接到它的BTS失去服务，但是该服务仍然可以由相邻BTS提供。网络容量将减少，但是它取决于要服务的区域是可接受的。这种方法可以与任何其他方法结合，无论是为了负载共享的好处，还是减少故障转移的影响（见图9.24）。

图9.24 使用负载共享方式的服务恢复