標(biāo)準(zhǔn)IPSEC常見問題及原因

標(biāo)準(zhǔn)IPSEC常見問題及原因精選ppt關(guān)于標(biāo)準(zhǔn)IPSEC的一些說明1、標(biāo)準(zhǔn)IPSEC的版本：IKEV1〔1998〕IKEV2〔2005〕RFC

2407RFC

2408RFC

2409RFC

4306，同時廢止RFC

2407、2408、24092、標(biāo)準(zhǔn)IPSEC(V1)的連接過程：A、數(shù)據(jù)協(xié)商B、數(shù)據(jù)傳輸?shù)谝浑A段第二階段主模式野蠻模式快速模式ESP/AH，IP層傳輸NATT+ESP/AH，UDP傳輸精選ppt目錄為什么感覺我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？標(biāo)準(zhǔn)IPSEC連接之后設(shè)備上是否會產(chǎn)生路由？第三方對接連上，為什么必須我們先發(fā)起連接之后才能正?；ピL？為什么設(shè)備上連接還在，但是訪問不到對端，重啟效勞之后就可以？為什么要啟用DPD？什么是DPD？身份類型〔ID〕中的FQDN、USER_FQDN、IPV4_ADDR都是什么？什么是GRE封裝的標(biāo)準(zhǔn)IPSEC？有什么用？啟用PFS與不啟用PFS的區(qū)別？什么是SPI？SPI不對有什么后果？第三方對接能用多線路么？如何抓標(biāo)準(zhǔn)IPSEC的包？精選ppt標(biāo)準(zhǔn)IPSEC為什么感覺我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？1、工作層面不一樣SANGFOR

VPN精選ppt為什么感覺我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？2、工作方式不一樣標(biāo)準(zhǔn)IPSEC在協(xié)商完之后，沒有啟用DPD的情況下，是不會產(chǎn)生任何其他數(shù)據(jù)包，只有某方的超時時間到了且有數(shù)據(jù)需要傳輸時，才會重新發(fā)起協(xié)商，中間過程會默認(rèn)一直保持這條IPSEC隧道。你準(zhǔn)備好了沒？準(zhǔn)備好了！DATADATA精選ppt為什么感覺我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？SANGFORVPN在VPN連接上之后，還會通過TCP/UDP目標(biāo)端口4009發(fā)送echo包，來檢測隧道是否正常，一旦屢次收不到echo包，那么認(rèn)為隧道故障，會斷開重連。你準(zhǔn)備好了沒？準(zhǔn)備好了！ECHOECHOECHOVPN故障，斷開！精選pptIPSEC連接之后設(shè)備上是否會產(chǎn)生路由？SANGFORVPN連接之后，在系統(tǒng)路由表里可以看到VPN產(chǎn)生的路由交給了VPNTUN，因此我們在VPNTUN上可以抓到VPN的數(shù)據(jù)包。這里沒有SANGFOR

VPN連接，所以這里看到的是2條VPN接口的直連路由。SANGFOR

VPN：精選pptIPSEC連接之后設(shè)備上是否會產(chǎn)生路由？標(biāo)準(zhǔn)IPSEC

VPN：標(biāo)準(zhǔn)IPSEC產(chǎn)生的路由條目精選pptIPSEC連接之后設(shè)備上是否會產(chǎn)生路由？結(jié)論：標(biāo)準(zhǔn)IPSECVPN連接之后，一樣會在我們設(shè)備內(nèi)產(chǎn)生去往對端的路由條目交給VPNTUN，但是這些路由條目不會表達(dá)在系統(tǒng)路由表里，因此直接route–n無法查看這些路由表。需要后臺查看策略路由表。排錯：如果出現(xiàn)第三方對接，正常連接上，但是無法訪問對端的情況，首先檢查一下是否在我們設(shè)備的策略路由表里產(chǎn)生了對應(yīng)的路由條目。之后可以在VPNTUN里抓包，看數(shù)據(jù)包是否正常發(fā)出。但VPNTUN抓不到回來的數(shù)據(jù)包，因?yàn)榛貋淼陌饷芎笾苯觼G出去了，不經(jīng)過VPNTUN。精選pptIPSEC連接之后設(shè)備上是否會產(chǎn)生路由？特殊案例：VPNTUN里抓到了發(fā)出的數(shù)據(jù)包，第三方對接也正常連上，但是就是訪問不到第三方對端。原因：客戶啟用了隧道間路由的通過總部上網(wǎng)功能！SANGFORIPSEC分支1網(wǎng)段總部2網(wǎng)段3網(wǎng)段隧道間路由功能是在VPNTUN接口上由驅(qū)動來抓包的，因此當(dāng)所有的VPN數(shù)據(jù)通過路由被送到VPNTUN接口時，首先匹配隧道間路由規(guī)那么，之后才會匹配各個不同的SA交給不同的VPN隧道。因此一旦啟用了通過總部上網(wǎng)，或者隧道間路由里設(shè)置的目的IP網(wǎng)段跟標(biāo)準(zhǔn)IPSEC對端網(wǎng)段沖突，都會導(dǎo)致數(shù)據(jù)直接被抓走并發(fā)送到隧道間路由對端設(shè)備。精選ppt為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？此情況常出現(xiàn)在AC

2.0R1之前的版本。結(jié)論：AC合入VPN的時候，在AC的防火墻里忘記翻開標(biāo)準(zhǔn)IPSEC需要使用的UDP500、UDP4500以及ESP、AH協(xié)議，導(dǎo)致數(shù)據(jù)從對端過來被本端防火墻直接丟棄，只有本端先發(fā)過去了，防火墻才會放行。精選ppt為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？排錯：在設(shè)備的ETH2口，用tcpdump命令抓包tcpdump–ieth2udp500andhostx.x.x.x或者tcpdump-ieth2espandhostx.x.x.x如果發(fā)現(xiàn)收到對端發(fā)過來的數(shù)據(jù)包，但沒有回應(yīng)，那么優(yōu)先檢查FW的iptables規(guī)那么在FW中手動添加如下規(guī)那么：iptables-IINPUT-ieth2-pudp--dport500-jACCEPT//放通udp500端口iptables-IINPUT-ieth2-pudp--dport4500-jACCEPT//放通udp4500端口iptables-IINPUT-p50-jACCEPT//放通ESP協(xié)議iptables-IINPUT-p51-jACCEPT//放通AH協(xié)議之后把這幾條規(guī)那么加到FW的fwreserved.sh、fwreserved_enable.sh以及fwreserved_disable.sh腳本里去。精選ppt為什么必須我們先發(fā)起連接之后雙方才能正常互訪？另外一種情況：我方為撥號，對端為固定IP，此時因?yàn)閷Χ耸遣恢牢曳疆?dāng)前的IP地址，所以只能被動的接受我方發(fā)起的主動連接。Internet精選pptInternet為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？特殊案例：我們設(shè)備做雙機(jī)，連標(biāo)準(zhǔn)IPSEC，雙機(jī)切換之后，VPN就連不上了，重啟也沒用。原因：我方切換之后，對端并沒有把原有建立好的SA去除，而且也不再接受我方再次發(fā)起的協(xié)商請求，所以一直無法正常連接。解決方案：1、對端設(shè)備上手動刪除SA；2、雙方啟用DPD。精選ppt設(shè)備上顯示連接還在，但是訪問不到對端，重啟效勞之后就可以？可能情況：對端的VPN連接已經(jīng)斷開而我方還處在SA的有效生存期時間內(nèi)，從而形成了VPN隧道的黑洞。我方不停的發(fā)送加密后的VPN數(shù)據(jù)過去，但對方拒絕接受。精選ppt設(shè)備上顯示連接還在，但是訪問不到對端，重啟效勞之后就可以？排錯：1、雙方把各自第一階段的SA生存期和第二階段的SA生存期改成跟對端完全一致；2、在第一階段啟用DPD。對端斷開連接而我方?jīng)]有斷開的可能原因：1、對端手動去除了SA；2、對端同時啟用了按秒計(jì)時和按流量統(tǒng)計(jì)，而我方只支持按秒計(jì)時，如果流量太大，可能導(dǎo)致在按秒計(jì)時的生存期內(nèi)流量已經(jīng)超出，導(dǎo)致對端斷開連接；3、雙方存在多個出入站策略，對端刪除的時候只發(fā)送了其中一個策略的刪除載荷，我方也只刪除了一個策略，導(dǎo)致其他策略我方認(rèn)為還在，但對端已經(jīng)全部刪除。精選ppt為什么要啟用DPD？什么是DPD？DPD:死亡對等體檢測〔DeadPeerDetection〕，其實(shí)跟SANGFORVPN的隧道?；畎傻氖穷愃频幕?。當(dāng)VPN隧道異常的時候，能檢測到并重新發(fā)起協(xié)商，來維持VPN隧道。DPD主要是為了防止標(biāo)準(zhǔn)IPSEC出現(xiàn)“隧道黑洞〞。我們設(shè)備默認(rèn)就已經(jīng)啟用了DPD，界面不可配置。只能通過后臺手動修改sysset.sfr文件來啟用/禁止DPD。Phase

IPhase

IIDPD只對第一階段生效，如果第一階段本身已經(jīng)超時斷開，那么不會再發(fā)DPD包。精選ppt為什么要啟用DPD？什么是DPD？DPD包并不是連續(xù)發(fā)送，而是采用空閑計(jì)時器機(jī)制。每接收到一個IPSec加密的包后就重置這個包對應(yīng)IKESA的空閑定時器，如果空閑定時器計(jì)時開始到計(jì)時結(jié)束過程都沒有接收到該SA對應(yīng)的加密包，那么下一次有IP包要被這個SA加密發(fā)送或接收到加密包之前就需要使用DPD來檢測對方是否存活。DATAESPDATADPDrequestDPDreplayDATAESPDPD檢測主要靠超時計(jì)時器，超時計(jì)時器用于判斷是否再次發(fā)起請求，一般來說連續(xù)發(fā)出3次請求〔請求->超時->請求->超時->請求->超時〕都沒有收到任何DPD應(yīng)答就會刪除SA。精選ppt身份類型〔ID〕中的FQDN、USER_FQDN、IPV4_ADDR都是什么？IPV4_ADDR、FQDN、USER_FQDN只是三種不同類型的身份認(rèn)證方式，可以理解為SANGFOR

VPN的用戶名，主要用來確認(rèn)對端身份。標(biāo)準(zhǔn)IPSEC還包括X.509證書認(rèn)證，一般很少人用，我們也不支持。主模式野蠻模式IPV4_ADDRIPV4_ADDRFQDNUSER_FQDN精選ppt身份類型〔ID〕中的FQDN、USER_FQDN、IPV4_ADDR都是什么？IPV4_ADDR格式：IP地址格式，例如：123.123.123.123FQDN格式：一般要求一個完整的域名，例如：sangfor一串字符串也可以。USER_FQDN格式：電子郵件格式，例如：xietian@sangfor注意：某些廠商是通過@符號前是否有字符串來區(qū)分是FQDN還是USER_FQDN。因?yàn)槲覀冊O(shè)備配置時要注意在對端身份ID和我方身份ID里加上@符號，否那么會報(bào)ID不匹配。例如：@sangfor認(rèn)為是FQDN格式xietian@sangfor認(rèn)為是USER_FQDN格式對端配置頁面直接輸入sangfor會自動在前方參加@符號。精選ppt什么是GRE封裝的標(biāo)準(zhǔn)IPSEC？有什么用？標(biāo)準(zhǔn)IPSEC只支持單播數(shù)據(jù)流，也就意味著播送和組播無法在IPSEC隧道里傳輸。GRE：通用路由封裝〔GenericRoutingEncapsulation〕，定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。因此可以支持播送、組播甚至IPX等協(xié)議，但是是明文傳輸。因此IPSEC+GRE就成了既要平安，又要播送、組播等數(shù)據(jù)傳輸?shù)氖走x。IPSECGREGREIPSEC精選ppt啟用PFS與不啟用PFS的區(qū)別？PFS：PrefectForwardSecrecy，SANGFOR設(shè)備上稱為“密鑰完美向前保密〞在IPSEC協(xié)商的第一階段，通過DH算法進(jìn)行了密鑰的交互，并生成了加密密鑰。如果不使用PFS，那么第二階段的加密密鑰會根據(jù)第一階段的密鑰自動生成。使用了PFS，那么第二階段要重新通過DH算法協(xié)商一個新的加密密鑰，從而提高了數(shù)據(jù)的平安性。Phase

IPhase

IIDH1DH2DH5DH1DH2DH5精選ppt啟用PFS與不啟用PFS的區(qū)別？結(jié)論：PFS主要是用來加強(qiáng)數(shù)據(jù)傳輸?shù)钠桨残?；要啟用PFS，那么連接雙方都要啟用PFS，否那么無法進(jìn)行第二階段的DH交換，從而協(xié)商不出新的加密密鑰；啟用PFS會比較消耗設(shè)備性能。排錯：1、檢查連接的雙方是否都啟用了PFS，確保兩邊都啟用或者都禁用；2、啟用PFS后，SANGFOR設(shè)備默認(rèn)只支持兩個階段DH組一致，如果對方是可以配置DH組的，需要把兩個階段的DH組設(shè)置成一致。精選ppt什么是SPI？SPI不對有什么后果？SPI：平安參數(shù)索引〔SecurityParameterIndex〕，由IKE自動分配。發(fā)送數(shù)據(jù)包時，發(fā)送方會把SPI插入到IPSec頭中。接收方收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法、封裝模式、目的IP地址等。結(jié)論：SPI不匹配會導(dǎo)致IPSEC無法正確處理加密的數(shù)據(jù)包，導(dǎo)致數(shù)據(jù)傳輸有問題。排錯：當(dāng)出現(xiàn)如下提示時，那么只能重新建立這個IPSEC連接：DLAN總部調(diào)試12:17:25[Isakmp_Server]無效的SPI(可能是隨機(jī)生成的SPI發(fā)生沖突,請重新發(fā)起一次連接).精選ppt第三方對接能用多線路么？標(biāo)準(zhǔn)IPSEC協(xié)議沒有定義多線路這種情況，也就是標(biāo)準(zhǔn)IPSEC不支持多線路環(huán)境下的使用，只能用一條線路。SANGFOR設(shè)備上有多條線路的時候怎么處理？4.3版本之前始終通過默認(rèn)路由指向的那條線路跟對端建立標(biāo)準(zhǔn)IPSEC連接。4.3版本之后可以通過線路出口來指定標(biāo)準(zhǔn)IPSEC從哪條線路走。數(shù)據(jù)從線路1進(jìn)來，但是指定標(biāo)準(zhǔn)IPSEC走線路2，這樣能連么？能用么？這種情況下不管是主模式還是野蠻模式，因?yàn)閰f(xié)商的時候回給對端的源IP跟對端發(fā)起訪問的目標(biāo)IP不一致，標(biāo)準(zhǔn)IPSEC連接無法正常建立。精選ppt第三方對接能用多線路么？多線路情況下如何使用標(biāo)準(zhǔn)IPSEC建立VPN連接？保證VPN對端連的是缺省路由所在的那條線就行了，或者是標(biāo)準(zhǔn)IPSEC指定的那條線就行。如果有條線是撥號，有時斷開重?fù)?，?dǎo)致缺省路由發(fā)生了切換，怎么辦？升級到DLAN4.3版本，指定線路出口