標準IPSEC常見問題及原因精選ppt關于標準IPSEC的一些說明1、標準IPSEC的版本：IKEV1〔1998〕IKEV2〔2005〕RFC

2407RFC

2408RFC

2409RFC

4306，同時廢止RFC

2407、2408、24092、標準IPSEC(V1)的連接過程：A、數據協商B、數據傳輸第一階段第二階段主模式野蠻模式快速模式ESP/AH，IP層傳輸NATT+ESP/AH，UDP傳輸精選ppt目錄為什么感覺我們的VPN容易斷而標準IPSEC比較穩定？標準IPSEC連接之后設備上是否會產生路由？第三方對接連上，為什么必須我們先發起連接之后才能正?；ピL？為什么設備上連接還在，但是訪問不到對端，重啟效勞之后就可以？為什么要啟用DPD？什么是DPD？身份類型〔ID〕中的FQDN、USER_FQDN、IPV4_ADDR都是什么？什么是GRE封裝的標準IPSEC？有什么用？啟用PFS與不啟用PFS的區別？什么是SPI？SPI不對有什么后果？第三方對接能用多線路么？如何抓標準IPSEC的包？精選ppt標準IPSEC為什么感覺我們的VPN容易斷而標準IPSEC比較穩定？1、工作層面不一樣SANGFOR

VPN精選ppt為什么感覺我們的VPN容易斷而標準IPSEC比較穩定？2、工作方式不一樣標準IPSEC在協商完之后，沒有啟用DPD的情況下，是不會產生任何其他數據包，只有某方的超時時間到了且有數據需要傳輸時，才會重新發起協商，中間過程會默認一直保持這條IPSEC隧道。你準備好了沒？準備好了！DATADATA精選ppt為什么感覺我們的VPN容易斷而標準IPSEC比較穩定？SANGFORVPN在VPN連接上之后，還會通過TCP/UDP目標端口4009發送echo包，來檢測隧道是否正常，一旦屢次收不到echo包，那么認為隧道故障，會斷開重連。你準備好了沒？準備好了！ECHOECHOECHOVPN故障，斷開！精選pptIPSEC連接之后設備上是否會產生路由？SANGFORVPN連接之后，在系統路由表里可以看到VPN產生的路由交給了VPNTUN，因此我們在VPNTUN上可以抓到VPN的數據包。這里沒有SANGFOR

VPN連接，所以這里看到的是2條VPN接口的直連路由。SANGFOR

VPN：精選pptIPSEC連接之后設備上是否會產生路由？標準IPSEC

VPN：標準IPSEC產生的路由條目精選pptIPSEC連接之后設備上是否會產生路由？結論：標準IPSECVPN連接之后，一樣會在我們設備內產生去往對端的路由條目交給VPNTUN，但是這些路由條目不會表達在系統路由表里，因此直接route–n無法查看這些路由表。需要后臺查看策略路由表。排錯：如果出現第三方對接，正常連接上，但是無法訪問對端的情況，首先檢查一下是否在我們設備的策略路由表里產生了對應的路由條目。之后可以在VPNTUN里抓包，看數據包是否正常發出。但VPNTUN抓不到回來的數據包，因為回來的包解密后直接丟出去了，不經過VPNTUN。精選pptIPSEC連接之后設備上是否會產生路由？特殊案例：VPNTUN里抓到了發出的數據包，第三方對接也正常連上，但是就是訪問不到第三方對端。原因：客戶啟用了隧道間路由的通過總部上網功能！SANGFORIPSEC分支1網段總部2網段3網段隧道間路由功能是在VPNTUN接口上由驅動來抓包的，因此當所有的VPN數據通過路由被送到VPNTUN接口時，首先匹配隧道間路由規那么，之后才會匹配各個不同的SA交給不同的VPN隧道。因此一旦啟用了通過總部上網，或者隧道間路由里設置的目的IP網段跟標準IPSEC對端網段沖突，都會導致數據直接被抓走并發送到隧道間路由對端設備。精選ppt為什么必須我們先發起連接之后雙方才能正?；ピL？此情況常出現在AC

2.0R1之前的版本。結論：AC合入VPN的時候，在AC的防火墻里忘記翻開標準IPSEC需要使用的UDP500、UDP4500以及ESP、AH協議，導致數據從對端過來被本端防火墻直接丟棄，只有本端先發過去了，防火墻才會放行。精選ppt為什么必須我們先發起連接之后雙方才能正?；ピL？排錯：在設備的ETH2口，用tcpdump命令抓包tcpdump–ieth2udp500andhostx.x.x.x或者tcpdump-ieth2espandhostx.x.x.x如果發現收到對端發過來的數據包，但沒有回應，那么優先檢查FW的iptables規那么在FW中手動添加如下規那么：iptables-IINPUT-ieth2-pudp--dport500-jACCEPT//放通udp500端口iptables-IINPUT-ieth2-pudp--dport4500-jACCEPT//放通udp4500端口iptables-IINPUT-p50-jACCEPT//放通ESP協議iptables-IINPUT-p51-jACCEPT//放通AH協議之后把這幾條規那么加到FW的fwreserved.sh、fwreserved_enable.sh以及fwreserved_disable.sh腳本里去。精選ppt為什么必須我們先發起連接之后雙方才能正?；ピL？另外一種情況：我方為撥號，對端為固定IP，此時因為對端是不知道我方當前的IP地址，所以只能被動的接受我方發起的主動連接。Internet精選pptInternet為什么必須我們先發起連接之后雙方才能正?；ピL？特殊案例：我們設備做雙機，連標準IPSEC，雙機切換之后，VPN就連不上了，重啟也沒用。原因：我方切換之后，對端并沒有把原有建立好的SA去除，而且也不再接受我方再次發起的協商請求，所以一直無法正常連接。解決方案：1、對端設備上手動刪除SA；2、雙方啟用DPD。精選ppt設備上顯示連接還在，但是訪問不到對端，重啟效勞之后就可以？可能情況：對端的VPN連接已經斷開而我方還處在SA的有效生存期時間內，從而形成了VPN隧道的黑洞。我方不停的發送加密后的VPN數據過去，但對方拒絕接受。精選ppt設備上顯示連接還在，但是訪問不到對端，重啟效勞之后就可以？排錯：1、雙方把各自第一階段的SA生存期和第二階段的SA生存期改成跟對端完全一致；2、在第一階段啟用DPD。對端斷開連接而我方沒有斷開的可能原因：1、對端手動去除了SA；2、對端同時啟用了按秒計時和按流量統計，而我方只支持按秒計時，如果流量太大，可能導致在按秒計時的生存期內流量已經超出，導致對端斷開連接；3、雙方存在多個出入站策略，對端刪除的時候只發送了其中一個策略的刪除載荷，我方也只刪除了一個策略，導致其他策略我方認為還在，但對端已經全部刪除。精選ppt為什么要啟用DPD？什么是DPD？DPD:死亡對等體檢測〔DeadPeerDetection〕，其實跟SANGFORVPN的隧道保活包干的是類似的活。當VPN隧道異常的時候，能檢測到并重新發起協商，來維持VPN隧道。DPD主要是為了防止標準IPSEC出現“隧道黑洞〞。我們設備默認就已經啟用了DPD，界面不可配置。只能通過后臺手動修改sysset.sfr文件來啟用/禁止DPD。Phase

IPhase

IIDPD只對第一階段生效，如果第一階段本身已經超時斷開，那么不會再發DPD包。精選ppt為什么要啟用DPD？什么是DPD？DPD包并不是連續發送，而是采用空閑計時器機制。每接收到一個IPSec加密的包后就重置這個包對應IKESA的空閑定時器，如果空閑定時器計時開始到計時結束過程都沒有接收到該SA對應的加密包，那么下一次有IP包要被這個SA加密發送或接收到加密包之前就需要使用DPD來檢測對方是否存活。DATAESPDATADPDrequestDPDreplayDATAESPDPD檢測主要靠超時計時器，超時計時器用于判斷是否再次發起請求，一般來說連續發出3次請求〔請求->超時->請求->超時->請求->超時〕都沒有收到任何DPD應答就會刪除SA。精選ppt身份類型〔ID〕中的FQDN、USER_FQDN、IPV4_ADDR都是什么？IPV4_ADDR、FQDN、USER_FQDN只是三種不同類型的身份認證方式，可以理解為SANGFOR

VPN的用戶名，主要用來確認對端身份。標準IPSEC還包括X.509證書認證，一般很少人用，我們也不支持。主模式野蠻模式IPV4_ADDRIPV4_ADDRFQDNUSER_FQDN精選ppt身份類型〔ID〕中的FQDN、USER_FQDN、IPV4_ADDR都是什么？IPV4_ADDR格式：IP地址格式，例如：123.123.123.123FQDN格式：一般要求一個完整的域名，例如：sangfor一串字符串也可以。USER_FQDN格式：電子郵件格式，例如：xietian@sangfor注意：某些廠商是通過@符號前是否有字符串來區分是FQDN還是USER_FQDN。因為我們設備配置時要注意在對端身份ID和我方身份ID里加上@符號，否那么會報ID不匹配。例如：@sangfor認為是FQDN格式xietian@sangfor認為是USER_FQDN格式對端配置頁面直接輸入sangfor會自動在前方參加@符號。精選ppt什么是GRE封裝的標準IPSEC？有什么用？標準IPSEC只支持單播數據流，也就意味著播送和組播無法在IPSEC隧道里傳輸。GRE：通用路由封裝〔GenericRoutingEncapsulation〕，定義了在任意一種網絡層協議上封裝任意一個其它網絡層協議的協議。因此可以支持播送、組播甚至IPX等協議，但是是明文傳輸。因此IPSEC+GRE就成了既要平安，又要播送、組播等數據傳輸的首選。IPSECGREGREIPSEC精選ppt啟用PFS與不啟用PFS的區別？PFS：PrefectForwardSecrecy，SANGFOR設備上稱為“密鑰完美向前保密〞在IPSEC協商的第一階段，通過DH算法進行了密鑰的交互，并生成了加密密鑰。如果不使用PFS，那么第二階段的加密密鑰會根據第一階段的密鑰自動生成。使用了PFS，那么第二階段要重新通過DH算法協商一個新的加密密鑰，從而提高了數據的平安性。Phase

IPhase

IIDH1DH2DH5DH1DH2DH5精選ppt啟用PFS與不啟用PFS的區別？結論：PFS主要是用來加強數據傳輸的平安性；要啟用PFS，那么連接雙方都要啟用PFS，否那么無法進行第二階段的DH交換，從而協商不出新的加密密鑰；啟用PFS會比較消耗設備性能。排錯：1、檢查連接的雙方是否都啟用了PFS，確保兩邊都啟用或者都禁用；2、啟用PFS后，SANGFOR設備默認只支持兩個階段DH組一致，如果對方是可以配置DH組的，需要把兩個階段的DH組設置成一致。精選ppt什么是SPI？SPI不對有什么后果？SPI：平安參數索引〔SecurityParameterIndex〕，由IKE自動分配。發送數據包時，發送方會把SPI插入到IPSec頭中。接收方收到數據包后，根據SPI值查找SAD和SPD，從而獲知解密數據包所需的加解密算法、hash算法、封裝模式、目的IP地址等。結論：SPI不匹配會導致IPSEC無法正確處理加密的數據包，導致數據傳輸有問題。排錯：當出現如下提示時，那么只能重新建立這個IPSEC連接：DLAN總部調試12:17:25[Isakmp_Server]無效的SPI(可能是隨機生成的SPI發生沖突,請重新發起一次連接).精選ppt第三方對接能用多線路么？標準IPSEC協議沒有定義多線路這種情況，也就是標準IPSEC不支持多線路環境下的使用，只能用一條線路。SANGFOR設備上有多條線路的時候怎么處理？4.3版本之前始終通過默認路由指向的那條線路跟對端建立標準IPSEC連接。4.3版本之后可以通過線路出口來指定標準IPSEC從哪條線路走。數據從線路1進來，但是指定標準IPSEC走線路2，這樣能連么？能用么？這種情況下不管是主模式還是野蠻模式，因為協商的時候回給對端的源IP跟對端發起訪問的目標IP不一致，標準IPSEC連接無法正常建立。精選ppt第三方對接能用多線路么？多線路情況下如何使用標準IPSEC建立VPN連接？保證VPN對端連的是缺省路由所在的那條線就行了，或者是標準IPSEC指定的那條線就行。如果有條線是撥號，有時斷開重撥，導致缺省路由發生了切換，怎么辦？升級到DLAN4.3版本，指定線路出口