|
哈喽,大家好,纯洁的小莫冷又来给大家科普啦 今天给大家带来的内容是IPSEC VPN参数详解 俗话说的好,授人以鱼不如授人以渔,IPSEC VPN咋配大家都知道,但是这其中的原理大家知道吗,每个参数都代表什么呢,今天小莫冷就来给大家详细的讲解一下IPSEC VPN各个参数的意义,让大家以后排障也方便排查故障 首先,当然是咱们的老套路啦,先来讲讲IPSEC VPN是个啥东西吧 IPSEC VPN 大家都知道,VPN有很多种,比如SSL、IPSEC、GRE、L2TP、PPTP等,而其中用的最多的当属SSL和IPSEC两大类型了,IPSEC VPN就是使用IPSEC协议来实现远程接入的一种VPN技术,但是这里的远程接入说的是两端内网的远程接入,也就是说在公网上的两台设备的内网之间的远程接入,而不是随便拿个电脑拨号进入内网的方式。 IPSEC VPN的两个阶段 IPSEC VPN分为两个阶段,第一阶段为建立连接,第二阶段则是建立隧道连接 第一阶段建立连接的方式位主模式与野蛮模式 第二阶段也有两种协议,分别是AH-传输模式和ESP-隧道模式,这里用的最多的便是ESP协议了 同时两个阶段也都有认证算法(MD5/SHA等),加密算法(DES/3DES/AES等)等等,这里就不再赘述了 IPSEC VPN参数详解 好了,知道了IPSEC VPN是干啥的,咱们接下来就该来详细的讲讲它的参数了,请看下图,咱们今天讲的是标准IPSEC VPN,不是SANGFOR VPN哦,所以图片放的是第三方对接的图,这次用的是新架构的防火墙哦~ 从图中咱们可以知道,对接IPSEC VPN需要有对端IP地址,当然了,也不是一定需要对端有公网IP,只要一端的UDP 500 4500可以从公网访问就行啦,而对端IP地址可以有三种类型,分别是固定IP、动态域名及动态IP,这就要看对端运营商是啥样的了,专线肯定是固定IP,如果对方使用了花生壳等穿透技术的话就选动态域名,而动态IP就不用说了吧,肯定是拨号方式选的。 而这里需要注意的是,当对端IP类型选择位固定IP、动态域名时,第一阶段的协商模式里可以选择主模式与野蛮模式,而动态IP只能选择野蛮模式,原理为何请看下图 IKE主模式协商过程 IKE 野蛮模式协商过程 IKE两种模式对比 由上面三张图可以看到,主模式协商域共享密钥时只能根据IP地址来确定,也就是对端的IP地址,而动态IP无法确定IP地址,所以就会造成IKE协商失败,也就是第一阶段协商失败 讲完对端IP地址,下面我们来讲讲认证方式,还是上图说话!!! 看图可知,认证方式有三种,域共享密钥、证书认证、商密证书V1.1(特殊设备还可能更多),这些不用讲大家也清楚了吧,域共享密钥就是填写一串密码,而证书认证就是你传一个证书进去进行加密,商密则是向第三方机构申请的证书,商密证书分为签名证书和加密证书,这些是证书认证所没有的 而证书认证与商密证书最大的区别就是可信度的问题,证书认证的证书属于自签名证书,这样的证书在公网上是属于不可信的证书,就像咱们登录设备后台时都会都会告警,这就属于不可信证书,而商密证书则是由第三方安全机构专门签发的证书,在可信度上要大大高于普通证书。 好了,一不小心扯远了,接下来进入正题,认证方式是需要身份ID、DH组、认证算法和加密算法组合使用的,在我们的新架构防火墙上,它是在高级设置里面进行配置的。
第一阶段-IKE认证 野蛮模式和主模式的区别上边已经解释过了,咱们直接进入第二项,身份ID
身份ID分为三种,分别是IP地址、域名字符串、用户字符串 当使用主模式时,建议选择IP地址类型,当使用野蛮模式时,可根据网络类型灵活选择,比如两端都为专线且都能在公网访问时,可以选择IP地址类型,当两端其中一端为动态IP时,可选择域名字符串与用户字符串,注意,两端要配置一致哦,这里最容易出错的就是域名字符串与用户字符串搞混了导致协商不一致。 接下来SA超时时间,这个可以理解为老化时间或者生存周期都行,就是重新建立连接的时间,当网络中有长连接业务时建议将数值调高一点 D-H群,这个就是处理非对称加密数据的对称密钥,有的同学可能会迷糊了,这怎么又是非对称加密又是对称加密的,到底是啥意思呀? 大家还记不记得咱们在学习IPSEC VPN的时候有这样的一句话,用对称加密的方式加密非对称的数据,这就是说的咱们这个DH群了,DH群是属于对称加密的方式,及公钥加密公钥解密,而前边提的那个认证算法和加密算法则是非对称加密方式,我们用对称加密的方式将经过非对称加密的数据传输过去,这样不就更安全了吗,大家说对不对? 下面这个是个重点,很多小伙伴都会漏配,误配的一点
也就是DPD,他的中文名叫做死亡对等体检测,它的作用是什么呢,就是来检测对端是否存活的,有的时候一端的连接还是存活状态,而对端却已经断开连接了,这时就会造成IPSEC VPN连接异常,而DPD则可以很好的解决这个问题,它的配置方法也很简单,设置检测间隔时常及超时次数即可,这里也建议两端保持一致
接下来就是NAT-T了,也就是NAT穿越,它的作用是啥呢,其实它的出现是为了解决内部多台VPN设备经过NAT转换后的场景的,大家都知道,我们的IPSEC协议的源跟目的端口只能使用标准的UDP 500 4500进行通信,而在我们的VPN设备经过SNAT后端口有可能就不是5004500端口了,那么要如何配置呢,这就是需要到我们的NAT-T技术了,它可以更改端口或者让设备不检测源端口,这里具体的厂商配置可能不一样,就不多解释了,NAT-T的原理是在ESP头部增加一个UDP头部,这个头部厂商可自行修改,只要设备能够识别为IPSEC VPN连接即可。
好了,接下来就是第一阶段最后一点了,也就是加密算法和认证算法 这个算法前面已经提到了,属于非对称加密算法,从安全性来讲,AEC>3DES>DES,SHA1>MD5,这里需要注意两端的配置一定要保持一致哦。 好了,讲完了第一阶段,咱们来讲讲第二阶段 相比于第一阶段,第二阶段的重点配置项可就少多了,主要是感兴趣流(就是咱们写的本端子网和和对端子网),安全提议(包含加密算法和认证算法和PFS(完美向前加密)
废话不多说,上图
感兴趣流就不用多说了吧,就是两端需要互访的网段,本端和对端保持一致即可 安全提议也就是前面提到的AH和ESP协议的选择了,这里需要跟大家说明的一点,就是AH协议是验证整个数据包的,也就是IP包头也会验证,而当你的设备经过NAT之后IP包头就会改变,所以NAT协议与AH协议是冲突的,AH协议不能再NAT场景下应用,而ESP协议则不然,它只验证数据内容,所以NAT之后的场景也是可以用的,安全性上来讲AH协议加密整个数据包的内容,不加密数据内容,而ESP协议加密数据内容。 不过配置的大多数场景使用的都是ESP协议,大家也不用纠结孰优孰劣了。 最后一个,PFS,也就是完美向前加密,它在不同的设备上叫法可能不同,有的叫做完美向前加密,有的叫做完美向前保护,也有的只有一个PFS,这个到时候大家看到别懵就行了。 而要解释PFS,则需要结合IPSEC的两个阶段来讲的,首先,IPSEC第二阶段的密钥是从第一阶段的密钥导出的,那也就是说我只要知道了你的第一阶段的密钥,那么你的数据报文就可以轻松破解,这样怎么可以呢,于是乎,PFS占了出来,它可以使第二阶段的密钥独立出来,从而增加数据的安全性,防止获取到第一阶段密钥后来破解第二阶段密钥。
而PFS的加密方式也是对称加密的,请看下图
最后,做个总结,那些必须配置项,哪些可选,哪些建议开启 第一阶段-IKE认证阶段 必须配置项:对端IP、域共享密钥/证书/商密证书、连接模式(主模式/野蛮模式)、身份ID、认证算法、加密算法、DH群 可选配置项:DPD(全部场景建议开启,并且两端配置一致),NAT-T(NAT场景下建议开启,无NAT场景下建议关闭) 第二阶段-隧道加密阶段 必须配置项:感兴趣流、传输协议、加密算法、认证算法 可选配置项:PFS(建议开启)
好了,今天的分享就到这里了,各位走过路过不要错过,点个赞再走呗~
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-20 21:29
工程师1级 
