SANGFOR_IPSEC_2016年渠道高级认证培训03_第三方IPSEC对接常见问题及原因VIP

第三方对接IPSEC常见问题及原因,关于标准IPSEC的一些说明,1、标准IPSEC的版本：,IKEV1（1998）,IKEV2（2005）,RFC2407,RFC2408,RFC2409,RFC4306，同时废止RFC2407、2408、2409,2、标准IPSEC(V1)的连接过程：,A、数据协商B、数据传输,第一阶段,第二阶段,主模式,野蛮模式,快速模式,ESP/AH，IP层传输,NATT+ESP/AH，UDP传输,目录,为什么感觉我们的VPN容易断而标准IPSEC比较稳定？为什么设备上连接还在，但是访问不到对端，重启服务之后就可以？为什么要启用DPD？什么是DPD？身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？什么是GRE封装的标准IPSEC？有什么用？启用PFS与不启用PFS的区别？什么是SPI？SPI不对有什么后果？第三方对接能用多线路么？,标准IPSEC,为什么感觉我们的VPN容易断而标准IPSEC比较稳定？,1、工作层面不一样,SANGFORVPN,为什么感觉我们的VPN容易断而标准IPSEC比较稳定？,2、工作方式不一样,标准IPSEC在协商完之后，没有启用DPD的情况下，是不会产生任何其他数据包，只有某方的超时时间到了且有数据需要传输时，才会重新发起协商，中间过程会默认一直保持这条IPSEC隧道。,DATA,DATA,为什么感觉我们的VPN容易断而标准IPSEC比较稳定？,SANGFORVPN在VPN连接上之后，还会通过TCP/UDP目标端口4009发送echo包，来检测隧道是否正常，一旦多次收不到echo包，则认为隧道故障，会断开重连。,ECHO,ECHO,ECHO,设备上显示连接还在，但是访问不到对端，重启服务之后就可以？,可能情况：对端的VPN连接已经断开而我方还处在SA的有效生存期时间内，从而形成了VPN隧道的黑洞。,我方不停的发送加密后的VPN数据过去，但对方拒绝接受。,设备上显示连接还在，但是访问不到对端，重启服务之后就可以？,排错：1、双方把各自第一阶段的SA生存期和第二阶段的SA生存期改成跟对端完全一致；2、在第一阶段启用DPD。,对端断开连接而我方没有断开的可能原因：1、对端手动清除了SA；2、对端同时启用了按秒计时和按流量统计，而我方只支持按秒计时，如果流量太大，可能导致在按秒计时的生存期内流量已经超出，导致对端断开连接；3、双方存在多个出入站策略，对端删除的时候只发送了其中一个策略的删除载荷，我方也只删除了一个策略，导致其他策略我方认为还在，但对端已经全部删除。,为什么要启用DPD？什么是DPD？,DPD:死亡对等体检测（DeadPeerDetection），其实它是同深信服sangforvpn的隧道状态保活机制类似的一种隧道检测机制。当VPN隧道异常的时候，能检测到并重新发起协商，来维持VPN隧道。,DPD主要是为了防止标准IPSEC出现“隧道黑洞”。,我们设备DLAN5.0之前默认就已经启用了DPD，界面不可配置；DLAN5.0开始，设备界面可以选配是否启用DPD。,DPD只对第一阶段生效，如果第一阶段本身已经超时断开，则不会再发DPD包。,为什么要启用DPD？什么是DPD？,DPD包并不是连续发送，而是采用空闲计时器机制。,每接收到一个IPSec加密的包后就重置这个包对应IKESA的空闲定时器，如果空闲定时器计时开始到计时结束过程都没有接收到该SA对应的加密包，那么下一次有IP包要被这个SA加密发送或接收到加密包之前就需要使用DPD来检测对方是否存活。,DATA,ESP,DATA,DPDrequest,DPDreplay,DATA,ESP,DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来说连续发出3次请求（请求-超时-请求-超时-请求-超时）都没有收到任何DPD应答就会删除SA。,身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？,IPV4_ADDR、FQDN、USER_FQDN只是三种不同类型的身份认证方式，可以理解为SANGFORVPN的用户名，主要用来确认对端身份。,标准IPSEC还包括X.509证书认证，一般很少人用，我们也不支持。,IPV4_ADDR,IPV4_ADDRFQDNUSER_FQDN,请注意：我司主模式下默认采用IPV4_ADDR认证标识，野蛮模式下DLAN5.0才开始支持IPV4_ADDR认证标识。,身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？,IPV4_ADDR格式：IP地址格式，例如：123.123.123.123FQDN格式：一般要求一个完整的域名，例如：一串字符串也可以。USER_FQDN格式：电子邮件格式，例如：sangfor,注意：某些厂商是通过符号前是否有字符串来区分是FQDN还是USER_FQDN，在对端设备配置页面直接输入会自动在前方加入符号。例如：认为是FQDN格式zhangsan才认为是USER_FQDN格式因此我们设备配置时要注意在对端身份ID和我方身份ID里加上符号，否则会报ID不匹配。,什么是GRE封装的标准IPSEC？有什么用？,标准IPSEC只支持单播数据流，也就意味着广播和组播无法在IPSEC隧道里传输。,GRE：通用路由封装（GenericRoutingEncapsulation），定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。因此可以支持广播、组播甚至IPX等协议，但是是明文传输。,因此IPSEC+GRE就成了既要安全，又要广播、组播等数据传输的首选。,启用PFS与不启用PFS的区别？,PFS：PrefectForwardSecrecy，SANGFOR设备上称为“密钥完美向前保密”,在IPSEC协商的第一阶段，通过DH算法进行了密钥的交互，并生成了加密密钥。如果不使用PFS，则第二阶段的加密密钥会根据第一阶段的密钥自动生成。使用了PFS，则第二阶段要重新通过DH算法协商一个新的加密密钥，从而提高了数据的安全性。,DH1DH2DH5,DH1DH2DH5,启用PFS与不启用PFS的区别？,结论：PFS主要是用来加强数据传输的安全性；要启用PFS，则连接双方都要启用PFS，否则无法进行第二阶段的DH交换，从而协商不出新的加密密钥；启用PFS会比较消耗设备性能。,排错：1、检查连接的双方是否都启用了PFS，确保两边都启用或者都禁用；2、启用PFS后，SANGFOR设备默认只支持两个阶段DH组一致，如果对方是可以配置DH组的，需要把两个阶段的DH组设置成一致。,什么是SPI？SPI不对有什么后果？,SPI：安全参数索引（SecurityParameterIndex），由IKE自动分配。,发送数据包时，发送方会把SPI插入到IPSec头中。接收方收到数据包后，根据SPI值查找SAD和SPD，从而获知解密数据包所需的加解密算法、hash算法、封装模式、目的IP地址等。,结论：SPI不匹配会导致IPSEC无法正确处理加密的数据包，导致数据传输有问题。,排错：当出现如下提示时，则只能重新建立这个IPSEC连接：DLAN总部调试12:17:25Isakmp_Server无效的SPI(可能是随机生成的SPI发生冲突,请重新发起一次连接).,第三方对接能用多线路么？,标准IPSEC协议没有定义多线路这种情况，也就是标准IPSEC不支持多线路环境下的使用，只能用一条线路。,SANGFOR设备上有多条线路的时候怎么处理？,4.3版本之前始终通过默认路由指向的那条线路跟对端建立标准IPSEC连接。4.3版本之后可以通过线路出口来指定标准IPSEC从哪条线路走。,数据从线路1进来，但是指定标准IPSEC走线路2，这样能连么？能用么？,这种情况下不管是主模式还是野蛮模式，因为协商的时候回给对端的源IP跟对端发起访问的目标IP不一致，标准IPSEC连接无法正常建立。,第三方对接能用多线路么？,多线路情况下如何使用标准IPSEC建立VPN连接？,保证VPN对端连的是缺省路由所在的那条