標(biāo)準(zhǔn)IPSEC常見(jiàn)問(wèn)題及原因

1、標(biāo)準(zhǔn)IPSEC常見(jiàn)問(wèn)題及原因,關(guān)于標(biāo)準(zhǔn)IPSEC的一些說(shuō)明,1、標(biāo)準(zhǔn)IPSEC的版本：,IKE V1（1998）,IKE V2（2005）,RFC 2407,RFC 2408,RFC 2409,RFC 4306，同時(shí)廢止RFC 2407、2408、2409,2、標(biāo)準(zhǔn)IPSEC(V1)的連接過(guò)程：,A、數(shù)據(jù)協(xié)商 B、數(shù)據(jù)傳輸,第一階段,第二階段,主模式,野蠻模式,快速模式,ESP/AH，IP層傳輸,NATT+ESP/AH，UDP傳輸,目錄,為什么感覺(jué)我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？ 標(biāo)準(zhǔn)IPSEC連接之后設(shè)備上是否會(huì)產(chǎn)生路由？ 第三方對(duì)接連上，為什么必須我們先發(fā)起連接之后才能正?；ピL

2、？ 為什么設(shè)備上連接還在，但是訪問(wèn)不到對(duì)端，重啟服務(wù)之后就可以？ 為什么要啟用DPD？什么是DPD？ 身份類型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？ 什么是GRE封裝的標(biāo)準(zhǔn)IPSEC？有什么用？ 啟用PFS與不啟用PFS的區(qū)別？ 什么是SPI？SPI不對(duì)有什么后果？ 第三方對(duì)接能用多線路么？ 如何抓標(biāo)準(zhǔn)IPSEC的包？,標(biāo)準(zhǔn)IPSEC,為什么感覺(jué)我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？,1、工作層面不一樣,SANGFOR VPN,為什么感覺(jué)我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？,2、工作方式不一樣,標(biāo)準(zhǔn)IPSEC在協(xié)商完之后，沒(méi)有啟用DPD的情況下，是

3、不會(huì)產(chǎn)生任何其他數(shù)據(jù)包，只有某方的超時(shí)時(shí)間到了且有數(shù)據(jù)需要傳輸時(shí)，才會(huì)重新發(fā)起協(xié)商，中間過(guò)程會(huì)默認(rèn)一直保持這條IPSEC隧道。,DATA,DATA,為什么感覺(jué)我們的VPN容易斷而標(biāo)準(zhǔn)IPSEC比較穩(wěn)定？,SANGFOR VPN在VPN連接上之后，還會(huì)通過(guò)TCP/UDP目標(biāo)端口4009發(fā)送echo包，來(lái)檢測(cè)隧道是否正常，一旦多次收不到echo包，則認(rèn)為隧道故障，會(huì)斷開(kāi)重連。,ECHO,ECHO,ECHO,IPSEC連接之后設(shè)備上是否會(huì)產(chǎn)生路由？,SANGFOR VPN連接之后，在系統(tǒng)路由表里可以看到VPN產(chǎn)生的路由交給了VPNTUN，因此我們?cè)赩PNTUN上可以抓到VPN的數(shù)據(jù)包。 這里沒(méi)有SA

4、NGFOR VPN連接，所以這里看到的是2條VPN接口的直連路由。,SANGFOR VPN：,IPSEC連接之后設(shè)備上是否會(huì)產(chǎn)生路由？,標(biāo)準(zhǔn)IPSEC VPN：,標(biāo)準(zhǔn)IPSEC產(chǎn)生的路由條目,IPSEC連接之后設(shè)備上是否會(huì)產(chǎn)生路由？,結(jié)論： 標(biāo)準(zhǔn)IPSEC VPN連接之后，一樣會(huì)在我們?cè)O(shè)備內(nèi)產(chǎn)生去往對(duì)端的路由條目交給VPNTUN，但是這些路由條目不會(huì)體現(xiàn)在系統(tǒng)路由表里，因此直接route n無(wú)法查看這些路由表。 需要后臺(tái)查看策略路由表。,排錯(cuò)： 如果出現(xiàn)第三方對(duì)接，正常連接上，但是無(wú)法訪問(wèn)對(duì)端的情況，首先檢查一下是否在我們?cè)O(shè)備的策略路由表里產(chǎn)生了對(duì)應(yīng)的路由條目。 之后可以在VPNTUN里抓包，

5、看數(shù)據(jù)包是否正常發(fā)出。 但VPNTUN抓不到回來(lái)的數(shù)據(jù)包，因?yàn)榛貋?lái)的包解密后直接丟出去了，不經(jīng)過(guò)VPNTUN。,IPSEC連接之后設(shè)備上是否會(huì)產(chǎn)生路由？,特殊案例： VPNTUN里抓到了發(fā)出的數(shù)據(jù)包，第三方對(duì)接也正常連上，但是就是訪問(wèn)不到第三方對(duì)端。,原因： 客戶啟用了隧道間路由的通過(guò)總部上網(wǎng)功能！,隧道間路由功能是在VPNTUN接口上由驅(qū)動(dòng)來(lái)抓包的，因此當(dāng)所有的VPN數(shù)據(jù)通過(guò)路由被送到VPNTUN接口時(shí)，首先匹配隧道間路由規(guī)則，之后才會(huì)匹配各個(gè)不同的SA交給不同的VPN隧道。,因此一旦啟用了通過(guò)總部上網(wǎng)，或者隧道間路由里設(shè)置的目的IP網(wǎng)段跟標(biāo)準(zhǔn)IPSEC對(duì)端網(wǎng)段沖突，都會(huì)導(dǎo)致數(shù)據(jù)直接被抓走并

6、發(fā)送到隧道間路由對(duì)端設(shè)備。,為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？,此情況常出現(xiàn)在AC 2.0R1之前的版本。,結(jié)論： AC合入VPN的時(shí)候，在AC的防火墻里忘記打開(kāi)標(biāo)準(zhǔn)IPSEC需要使用的UDP 500、UDP 4500以及ESP、AH協(xié)議，導(dǎo)致數(shù)據(jù)從對(duì)端過(guò)來(lái)被本端防火墻直接丟棄，只有本端先發(fā)過(guò)去了，防火墻才會(huì)放行。,為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？,排錯(cuò)： 在設(shè)備的ETH2口，用tcpdump命令抓包 tcpdump i eth2 udp 500 and host x.x.x.x 或者tcpdump -i eth2 esp and host x.x.x.x 如果發(fā)現(xiàn)收

7、到對(duì)端發(fā)過(guò)來(lái)的數(shù)據(jù)包，但沒(méi)有回應(yīng)，則優(yōu)先檢查FW的iptables規(guī)則 在FW中手動(dòng)添加如下規(guī)則： iptables -I INPUT -i eth2 -p udp -dport 500 -j ACCEPT /放通udp 500端口 iptables -I INPUT -i eth2 -p udp -dport 4500 -j ACCEPT /放通udp 4500端口 iptables -I INPUT -p 50 -j ACCEPT /放通ESP協(xié)議 iptables -I INPUT -p 51 -j ACCEPT /放通AH協(xié)議 之后把這幾條規(guī)則加到FW的fwreserved.sh、fw

8、reserved_enable.sh以及fwreserved_disable.sh腳本里去。,為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？,另外一種情況： 我方為撥號(hào)，對(duì)端為固定IP，此時(shí)因?yàn)閷?duì)端是不知道我方當(dāng)前的IP地址，所以只能被動(dòng)的接受我方發(fā)起的主動(dòng)連接。,Internet,為什么必須我們先發(fā)起連接之后雙方才能正?；ピL？,特殊案例： 我們?cè)O(shè)備做雙機(jī)，連標(biāo)準(zhǔn)IPSEC，雙機(jī)切換之后，VPN就連不上了，重啟也沒(méi)用。,原因： 我方切換之后，對(duì)端并沒(méi)有把原有建立好的SA清除，而且也不再接受我方再次發(fā)起的協(xié)商請(qǐng)求，所以一直無(wú)法正常連接。,解決方案： 1、對(duì)端設(shè)備上手動(dòng)刪除SA； 2、雙方啟用DP

9、D。,設(shè)備上顯示連接還在，但是訪問(wèn)不到對(duì)端，重啟服務(wù)之后就可以？,可能情況： 對(duì)端的VPN連接已經(jīng)斷開(kāi)而我方還處在SA的有效生存期時(shí)間內(nèi)，從而形成了VPN隧道的黑洞。,我方不停的發(fā)送加密后的VPN數(shù)據(jù)過(guò)去，但對(duì)方拒絕接受。,設(shè)備上顯示連接還在，但是訪問(wèn)不到對(duì)端，重啟服務(wù)之后就可以？,排錯(cuò)： 1、雙方把各自第一階段的SA生存期和第二階段的SA生存期改成跟對(duì)端完全一致； 2、在第一階段啟用DPD。,對(duì)端斷開(kāi)連接而我方?jīng)]有斷開(kāi)的可能原因： 1、對(duì)端手動(dòng)清除了SA； 2、對(duì)端同時(shí)啟用了按秒計(jì)時(shí)和按流量統(tǒng)計(jì)，而我方只支持按秒計(jì)時(shí)，如果流量太大，可能導(dǎo)致在按秒計(jì)時(shí)的生存期內(nèi)流量已經(jīng)超出，導(dǎo)致對(duì)端斷開(kāi)連接；

10、 3、雙方存在多個(gè)出入站策略，對(duì)端刪除的時(shí)候只發(fā)送了其中一個(gè)策略的刪除載荷，我方也只刪除了一個(gè)策略，導(dǎo)致其他策略我方認(rèn)為還在，但對(duì)端已經(jīng)全部刪除。,為什么要啟用DPD？什么是DPD？,DPD:死亡對(duì)等體檢測(cè)（Dead Peer Detection），其實(shí)跟SANGFOR VPN的隧道?；畎傻氖穷愃频幕?。當(dāng)VPN隧道異常的時(shí)候，能檢測(cè)到并重新發(fā)起協(xié)商，來(lái)維持VPN隧道。,DPD主要是為了防止標(biāo)準(zhǔn)IPSEC出現(xiàn)“隧道黑洞”。,我們?cè)O(shè)備默認(rèn)就已經(jīng)啟用了DPD，界面不可配置。 只能通過(guò)后臺(tái)手動(dòng)修改sysset.sfr文件來(lái)啟用/禁止DPD。,DPD只對(duì)第一階段生效，如果第一階段本身已經(jīng)超時(shí)斷開(kāi)，則不

11、會(huì)再發(fā)DPD包。,為什么要啟用DPD？什么是DPD？,DPD包并不是連續(xù)發(fā)送，而是采用空閑計(jì)時(shí)器機(jī)制。,每接收到一個(gè)IPSec加密的包后就重置這個(gè)包對(duì)應(yīng)IKE SA的空閑定時(shí)器，如果空閑定時(shí)器計(jì)時(shí)開(kāi)始到計(jì)時(shí)結(jié)束過(guò)程都沒(méi)有接收到該SA對(duì)應(yīng)的加密包，那么下一次有IP包要被這個(gè)SA加密發(fā)送或接收到加密包之前就需要使用DPD來(lái)檢測(cè)對(duì)方是否存活。,DATA,ESP,DATA,DPD request,DPD replay,DATA,ESP,DPD檢測(cè)主要靠超時(shí)計(jì)時(shí)器，超時(shí)計(jì)時(shí)器用于判斷是否再次發(fā)起請(qǐng)求，一般來(lái)說(shuō)連續(xù)發(fā)出3次請(qǐng)求（請(qǐng)求-超時(shí)-請(qǐng)求-超時(shí)-請(qǐng)求-超時(shí)）都沒(méi)有收到任何DPD應(yīng)答就會(huì)刪除SA。,身

12、份類型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？,IPV4_ADDR、FQDN、USER_FQDN只是三種不同類型的身份認(rèn)證方式，可以理解為SANGFOR VPN的用戶名，主要用來(lái)確認(rèn)對(duì)端身份。,標(biāo)準(zhǔn)IPSEC還包括X.509證書(shū)認(rèn)證，一般很少人用，我們也不支持。,IPV4_ADDR,IPV4_ADDR FQDN USER_FQDN,身份類型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？,IPV4_ADDR格式：IP地址格式，例如：123.123.123.123 FQDN格式：一般要求一個(gè)完整的域名，例如： 一串字符串也可以。 USER_FQ

13、DN格式：電子郵件格式，例如：xietian,注意： 某些廠商是通過(guò)符號(hào)前是否有字符串來(lái)區(qū)分是FQDN還是USER_FQDN。 因?yàn)槲覀冊(cè)O(shè)備配置時(shí)要注意在對(duì)端身份ID和我方身份ID里加上符號(hào)，否則會(huì)報(bào)ID不匹配。 例如： 認(rèn)為是FQDN格式 xietian 認(rèn)為是USER_FQDN格式 對(duì)端配置頁(yè)面直接輸入會(huì)自動(dòng)在前方加入符號(hào)。,什么是GRE封裝的標(biāo)準(zhǔn)IPSEC？有什么用？,標(biāo)準(zhǔn)IPSEC只支持單播數(shù)據(jù)流，也就意味著廣播和組播無(wú)法在IPSEC隧道里傳輸。,GRE：通用路由封裝（Generic Routing Encapsulation），定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個(gè)其它網(wǎng)絡(luò)層協(xié)議的

14、協(xié)議。因此可以支持廣播、組播甚至IPX等協(xié)議，但是是明文傳輸。,因此IPSEC+GRE就成了既要安全，又要廣播、組播等數(shù)據(jù)傳輸?shù)氖走x。,啟用PFS與不啟用PFS的區(qū)別？,PFS：Prefect Forward Secrecy，SANGFOR設(shè)備上稱為“密鑰完美向前保密”,在IPSEC協(xié)商的第一階段，通過(guò)DH算法進(jìn)行了密鑰的交互，并生成了加密密鑰。 如果不使用PFS，則第二階段的加密密鑰會(huì)根據(jù)第一階段的密鑰自動(dòng)生成。 使用了PFS，則第二階段要重新通過(guò)DH算法協(xié)商一個(gè)新的加密密鑰，從而提高了數(shù)據(jù)的安全性。,DH1 DH2 DH5,DH1 DH2 DH5,啟用PFS與不啟用PFS的區(qū)別？,結(jié)論：

15、PFS主要是用來(lái)加強(qiáng)數(shù)據(jù)傳輸?shù)陌踩裕?要啟用PFS，則連接雙方都要啟用PFS，否則無(wú)法進(jìn)行第二階段的DH交換，從而協(xié)商不出新的加密密鑰； 啟用PFS會(huì)比較消耗設(shè)備性能。,排錯(cuò)： 1、檢查連接的雙方是否都啟用了PFS，確保兩邊都啟用或者都禁用； 2、啟用PFS后，SANGFOR設(shè)備默認(rèn)只支持兩個(gè)階段DH組一致，如果對(duì)方是可以配置DH組的，需要把兩個(gè)階段的DH組設(shè)置成一致。,什么是SPI？SPI不對(duì)有什么后果？,SPI ：安全參數(shù)索引（Security Parameter Index），由IKE自動(dòng)分配。,發(fā)送數(shù)據(jù)包時(shí)，發(fā)送方會(huì)把SPI插入到IPSec頭中。 接收方收到數(shù)據(jù)包后，根據(jù)SPI值查找

16、SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法、封裝模式、目的IP地址等。,結(jié)論： SPI不匹配會(huì)導(dǎo)致IPSEC無(wú)法正確處理加密的數(shù)據(jù)包，導(dǎo)致數(shù)據(jù)傳輸有問(wèn)題。,排錯(cuò)： 當(dāng)出現(xiàn)如下提示時(shí)，則只能重新建立這個(gè)IPSEC連接： DLAN總部 調(diào)試 12:17:25 Isakmp_Server無(wú)效的SPI(可能是隨機(jī)生成的SPI發(fā)生沖突,請(qǐng)重新發(fā)起一次連接).,第三方對(duì)接能用多線路么？,標(biāo)準(zhǔn)IPSEC協(xié)議沒(méi)有定義多線路這種情況，也就是標(biāo)準(zhǔn)IPSEC不支持多線路環(huán)境下的使用，只能用一條線路。,SANGFOR設(shè)備上有多條線路的時(shí)候怎么處理？,4.3版本之前始終通過(guò)默認(rèn)路由指向的那條線路跟

17、對(duì)端建立標(biāo)準(zhǔn)IPSEC連接。 4.3版本之后可以通過(guò)線路出口來(lái)指定標(biāo)準(zhǔn)IPSEC從哪條線路走。,數(shù)據(jù)從線路1進(jìn)來(lái)，但是指定標(biāo)準(zhǔn)IPSEC走線路2，這樣能連么？能用么？,這種情況下不管是主模式還是野蠻模式，因?yàn)閰f(xié)商的時(shí)候回給對(duì)端的源IP跟對(duì)端發(fā)起訪問(wèn)的目標(biāo)IP不一致，標(biāo)準(zhǔn)IPSEC連接無(wú)法正常建立。,第三方對(duì)接能用多線路么？,多線路情況下如何使用標(biāo)準(zhǔn)IPSEC建立VPN連接？,保證VPN對(duì)端連的是缺省路由所在的那條線就行了，或者是標(biāo)準(zhǔn)IPSEC指定的那條線就行。,如果有條線是撥號(hào)，有時(shí)斷開(kāi)重?fù)?，?dǎo)致缺省路由發(fā)生了切換，怎么辦？,升級(jí)到DLAN4.3版本，指定線路出口解決。,AC現(xiàn)在不能升級(jí)到DLAN4.3版本，怎么辦？,1、大概7月份左右會(huì)合入； 2、用野蠻模式，身份ID用FQDN或者USER_FQDN，對(duì)端為固定IP，我方主動(dòng)連接對(duì)方，并且第一階段啟用DPD。（我自己想的，沒(méi)測(cè)試過(guò)）,如何在設(shè)備上抓標(biāo)準(zhǔn)IPSEC的包？,標(biāo)準(zhǔn)IPSEC數(shù)據(jù)包可以分為2大塊，第一大塊為協(xié)商包，第二大塊為數(shù)據(jù)傳輸包。,協(xié)商包又包括第一階段和第二階段，都是用的UDP 500，所以就跟正常的抓包方式一樣抓就可以了。,數(shù)據(jù)傳輸包，如果不是野蠻模式+NATT，則不會(huì)用到TCP/UDP協(xié)議，只能抓IP層的協(xié)議，一般是