标准IPSEC常见问题及原因

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,标准,IPSEC,常见问题及原因,关于标准,IPSEC,的一些说明,1,、标准,IPSEC,的版本：,IKE,V1,（,1998,）,IKE,V2,（,2005,）,RFC,2407,RFC,2408,RFC,2409,RFC,4306,，同时废止,RFC,2407,、,2408,、,2409,2,、标准,IPSEC(V1),的连接过程：,A,、数据协商,B,、数据传输,第一阶段,第二阶段,主模式,野蛮模式,快速模式,ESP/AH,，,IP,层传输,NATT+ESP/AH,，,UDP,传输,目录,为什么感觉我们的,VPN,容易断而标准,IPSEC,比较稳定？,标准,IPSEC,连接之后设备上是否会产生路由？,第三方对接连上，为什么必须我们先发起连接之后才能正常互访？,为什么设备上连接还在，但是访问不到对端，重启服务之后就可以？,为什么要启用,DPD,？什么是,DPD,？,身份类型（,ID,）中的,FQDN,、,USER_FQDN,、,IPV4_ADDR,都是什么？,什么是,GRE,封装的标准,IPSEC,？有什么用？,启用,PFS,与不启用,PFS,的区别？,什么是,SPI,？,SPI,不对有什么后果？,第三方对接能用多线路么？,如何抓标准,IPSEC,的包？,标准,IPSEC,为什么感觉我们的,VPN,容易断而标准,IPSEC,比较稳定？,1,、工作层面不一样,SANGFOR,VPN,为什么感觉我们的,VPN,容易断而标准,IPSEC,比较稳定？,2,、工作方式不一样,标准,IPSEC,在协商完之后，没有启用,DPD,的情况下，是不会产生任何其他数据包，只有某方的超时时间到了且有数据需要传输时，才会重新发起协商，中间过程会默认一直保持这条,IPSEC,隧道。,你准备好了没？,准备好了！,DATA,DATA,为什么感觉我们的,VPN,容易断而标准,IPSEC,比较稳定？,SANGFOR VPN,在,VPN,连接上之后，还会通过,TCP/UDP,目标端口,4009,发送,echo,包，来检测隧道是否正常，一旦多次收不到,echo,包，则认为隧道故障，会断开重连。,你准备好了没？,准备好了！,ECHO,ECHO,ECHO,VPN,故障，断开！,IPSEC,连接之后设备上是否会产生路由？,SANGFOR VPN,连接之后，在系统路由表里可以看到,VPN,产生的路由交给了,VPNTUN,，因此我们在,VPNTUN,上可以抓到,VPN,的数据包。,这里没有,SANGFOR,VPN,连接，所以这里看到的是,2,条,VPN,接口的直连路由。,SANGFOR,VPN,：,IPSEC,连接之后设备上是否会产生路由？,标准,IPSEC,VPN,：,标准,IPSEC,产生的路由条目,IPSEC,连接之后设备上是否会产生路由？,结论：,标准,IPSEC,VPN,连接之后，一样会在我们设备内产生去往对端的路由条目交给,VPNTUN,，但是这些路由条目不会体现在系统路由表里，因此直接,route,n,无法查看这些路由表。,需要后台查看策略路由表。,排错：,如果出现第三方对接，正常连接上，但是无法访问对端的情况，首先检查一下是否在我们设备的策略路由表里产生了对应的路由条目。,之后可以在,VPNTUN,里抓包，看数据包是否正常发出。,但,VPNTUN,抓不到回来的数据包，因为回来的包解密后直接丢出去了，不经过,VPNTUN,。,IPSEC,连接之后设备上是否会产生路由？,特殊案例：,VPNTUN,里抓到了发出的数据包，第三方对接也正常连上，但是就是访问不到第三方对端。,原因：,客户启用了隧道间路由的通过总部上网功能！,SANGFOR,IPSEC,分支,1,网段,总部,2,网段,3,网段,隧道间路由功能是在,VPNTUN,接口上由驱动来抓包的，因此当所有的,VPN,数据通过路由被送到,VPNTUN,接口时，首先匹配隧道间路由规则，之后才会匹配各个不同的,SA,交给不同的,VPN,隧道。,因此一旦启用了通过总部上网，或者隧道间路由里设置的目的,IP,网段跟标准,IPSEC,对端网段冲突，都会导致数据直接被抓走并发送到隧道间路由对端设备。,为什么必须我们先发起连接之后双方才能正常互访？,此情况常出现在,AC,2.0R1,之前的版本。,结论：,AC,合入,VPN,的时候，在,AC,的防火墙里忘记打开标准,IPSEC,需要使用的,UDP,500,、,UDP,4500,以及,ESP,、,AH,协议,，导致数据从对端过来被本端防火墙直接丢弃，只有本端先发过去了，防火墙才会放行。,为什么必须我们先发起连接之后双方才能正常互访？,排错：,在设备的,ETH2,口，用,tcpdump,命令抓包,tcpdump,i,eth2,udp 500,and,host,x.x.x.x,或者,tcpdump,-i,eth2,esp,and,host,如果发现收到对端发过来的数据包，但没有回应，则优先检查,FW,的,iptables,规则,在,FW,中手动添加如下规则：,iptables-I INPUT-i eth2-p udp-dport 500-j ACCEPT,/,放通,udp 500,端口,iptables-I INPUT-i eth2-p udp-dport 4500-j ACCEPT,/,放通,udp 4500,端口,iptables-I INPUT-p 50-j ACCEPT,/,放通,ESP,协议,iptables-I INPUT-p 51-j ACCEPT,/,放通,AH,协议,之后把这几条规则加到,FW,的,fwreserved.sh,、,fwreserved_enable.sh,以及,fwreserved_disable.sh,脚本里去。,为什么必须我们先发起连接之后双方才能正常互访？,另外一种情况：,我方为拨号，对端为固定,IP,，此时因为对端是不知道我方当前的,IP,地址，所以只能被动的接受我方发起的主动连接。,Internet,Internet,为什么必须我们先发起连接之后双方才能正常互访？,特殊案例：,我们设备做双机，连标准,IPSEC,，双机切换之后，,VPN,就连不上了，重启也没用。,原因：,我方切换之后，对端并没有把原有建立好的,SA,清除，而且也不再接受我方再次发起的协商请求，所以一直无法正常连接。,解决方案：,1,、对端设备上手动删除,SA,；,2,、双方启用,DPD,。,设备上显示连接还在，但是访问不到对端，重启,服务,之后就可以？,可能情况：,对端的,VPN,连接已经断开而我方还处在,SA,的有效生存期时间内，从而形成了,VPN,隧道的黑洞。,我方不停的发送加密后的,VPN,数据过去，但对方拒绝接受。,设备上显示连接还在，但是访问不到对端，重启,服务,之后就可以？,排错：,1,、双方把各自第一阶段的,SA,生存期和第二阶段的,SA,生存期改成跟对端完全一致；,2,、在第一阶段启用,DPD,。,对端断开连接而我方没有断开的可能原因：,1,、对端手动清除了,SA,；,2,、对端同时启用了按秒计时和按流量统计，而我方只支持按秒计时，如果流量太大，可能导致在按秒计时的生存期内流量已经超出，导致对端断开连接；,3,、双方存在多个出入站策略，对端删除的时候只发送了其中一个策略的删除载荷，我方也只删除了一个策略，导致其他策略我方认为还在，但对端已经全部删除。,为什么要启用,DPD,？什么是,DPD,？,DPD:,死亡对等体检测（,Dead,Peer,Detection,），其实跟,SANGFOR,VPN,的隧道保活包干的是类似的活。当,VPN,隧道异常的时候，能检测到并重新发起协商，来维持,VPN,隧道。,DPD,主要是为了防止标准,IPSEC,出现“隧道黑洞”。,我们设备默认就已经启用了,DPD,，界面不可配置。,只能通过后台手动修改,sysset.sfr,文件来启用,/,禁止,DPD,。,Phase,I,Phase,II,DPD,只对第一阶段生效，如果第一阶段本身已经超时断开，则不会再发,DPD,包。,为什么要启用,DPD,？什么是,DPD,？,DPD,包并不是连续发送，而是采用空闲计时器机制。,每接收到一个,IPSec,加密的包后就重置这个包对应,IKE SA,的空闲定时器，如果空闲定时器计时开始到计时结束过程都没有接收到该,SA,对应的加密包，那么下一次有,IP,包要被这个,SA,加密发送或接收到加密包之前就需要使用,DPD,来检测对方是否存活。,DATA,ESP,DATA,DPD request,DPD replay,DATA,ESP,DPD,检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来说连续发出,3,次请求（请求,-,超时,-,请求,-,超时,-,请求,-,超时）都没有收到任何,DPD,应答就会删除,SA,。,身份类型（,ID,）中的,FQDN,、,USER_FQDN,、,IPV4_ADDR,都是什么？,IPV4_ADDR,、,FQDN,、,USER_FQDN,只是三种不同类型的身份认证方式，可以理解为,SANGFOR,VPN,的用户名，主要用来确认对端身份。,标准,IPSEC,还包括,X.509,证书认证，一般很少人用，我们也不支持。,主模式,野蛮模式,IPV4_ADDR,IPV4_ADDR,FQDN,USER_FQDN,身份类型（,ID,）中的,FQDN,、,USER_FQDN,、,IPV4_ADDR,都是什么？,IPV4_ADDR,格式：,IP,地址格式，例如：,FQDN,格式：一般要求一个完整的域名，例如：,一串字符串也可以。,USER_FQDN,格式：电子邮件格式，例如：,注意：,某些厂商是通过,符号前是否有字符串来区分是,FQDN,还是,USER_FQDN,。,因为我们设备配置时要注意在对端身份,ID,和我方身份,ID,里加上,符号，否则会报,ID,不匹配。,例如：认为是,FQDN,格式,认为是,USER_FQDN,格式,对端配置页面直接输入会自动在前方加入,符号。,什么是,GRE,封装的标准,IPSEC,？有什么用？,标准,IPSEC,只支持单播数据流，也就意味着广播和组播无法在,IPSEC,隧道里传输。,GRE,：通用路由封装（,Generic Routing Encapsulation,），定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。因此可以支持广播、组播甚至,IPX,等协议，但是是明文传输。,因此,IPSEC+GRE,就成了既要安全，又要广播、组播等数据传输的首选。,IPSEC,GRE,GRE,IPSEC,启用,PFS,与不启用,PFS,的区别？,PFS,：,Prefect,Forward,Secrecy,，,SANGFOR,设备上称为“密钥完美向前保密”,在,IPSEC,协商的第一阶段，通过,DH,算法进行了密钥的交互，并生成了加密密钥。,如果不使用,PFS,，则第二阶段的加密密钥会根据第一阶段的密钥自动生成。,使用了,PFS,，则第二阶段要重新通过,DH,算法协商一个新的加密密钥，从而提高了数据的安全性。,Phase,I,Phase,II,DH1,DH2,DH5,DH1,DH2,DH5,启用,PFS,与不启用,PFS,的区别？,结论：,PFS,主要是用来加强数据传输的安全性；,要启用,PFS,，则连接双方都要启用,PFS,，否则无法进行第二阶段的,DH,交换，从而协商不出新的加密密钥；,启用,PFS,会比较消耗设备性能。,排错：,1,、检查连接的双方是否都启用了,PFS,，确保两边都启用或者都禁用；,2,、启用,PFS,后，,SANGFOR,设备默认只支持两个阶段,DH,组一致，如果对方是可以配置,DH,组的，需要把两个阶段的,DH,组设置成一致。,什么是,SPI,？,SPI,不对有什么后果？,SPI,：安全参数索引（,Security Parameter Index,），由,IKE,