SANGFOR_IPSEC 第三方IPSEC对接常见问题及原因
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
排错: 1、检查连接的双方是否都启用了PFS,确保两边都启用或者都禁用; 2、启用PFS后,SANGFOR设备默认只支持两个阶段DH组一致,如果对方是可以配置 DH组的,需要把两个阶段的DH组设置成一致。
标准IPSEC还包括X.509证书认证,一般很少人用。
主模式
野蛮模式
IPV4_ADDR
IPV4_ADDR
FQDN
USER_FQDN
注意:主模式下默认采用IPV4_ADDR认证标识,野蛮模式下DLAN5.0才开始支持 IPV4_ADDR认证标识。
IPV4_ADDR格式:IP地址格式,例如:123.123.123.123 FQDN格式:一般要求一个完整的域名,例如:www.sangfor.com
DPD主要是为了防止标准IPSEC出现“隧道黑洞”。
DPD只对第一阶段生效,如果第一阶段本身已经超 时断开,则不会再发DPD包。
Phase I
Phase II
我们设备DLAN5.0之前默认就已经启用了DPD,界面 不可配置;DLAN5.0开始,设备界面可以选配是否启 用DPD。
DPD包并不是连续发送,而是采用空闲计时器机制。
为什么感觉我们的VPN容易断而标准IPSEC比 较稳定?
1、工作层面不一样
SANGFOR VPN 标准IPSEC
2、工作方式不一样
标准IPSEC在协商完之后,没有启用DPD的情况下,是不会产生任何其他数据包,只有某方 的超时时间到了且有数据需要传输时,才会重新发起协商,中间过程会默认一直保持这条 IPSEC隧道。
每接收到一个IPSec加密的包后就重置这个包对应IKE SA 的空闲定时器,如果空闲定时器计时开始到计时结束过 程都没有接收到该SA对应的加密包,那么下一次有IP包 要被这个SA加密发送或接收到加密包之前就需要使用 DPD来检测对方是否存活。
DATA
ESP
DPD replay
ESP
DPD request
DLAN 互联网案例及常见故障排错
1. 为什么感觉我们的VPN容易断而标准IPSEC比较稳定? 2. 为什么设备上连接还在,但是访问不到对端,重启服务之后就可以? 3. 什么是DPD?为什么要启用DPD? 4. 身份类型(ID)中的FQDN、USER_FQDN、IPV4_ADDR都是什么? 5. 什么是GRE封装的标准IPSEC?有什么用? 6. 启用PFS与不启用PFS的区别? 7. 什么是SPI?SPI不对有什么后果? 8. 第三方对接能用多线路么?
你准备好了没? DATA
准备好了!
SANGFOR VPN在VPN连接上之后,还会通过TCP/UDP目标端口4009发送echo包, 来检测隧道是否正常,一旦多次收不到echo包,则认为隧道故障,会断开重连。
VPN故障,断开!你准备好了没?
ECHO
准备好了!
设备上显示连接还在,但是访问不到对端,重 启服务之后就可以?
排错: 1、双方把各自第一阶段的SA生存期和第二阶段的SA生存期改成跟对端完全一致; 2、在第一阶段启用DPD。
什么是DPD?为什么要启用DPD?
DPD:死亡对等体检测(Dead Peer Detection),其实它是同深信服sangfor vpn 的隧道状态保活机制类似的一种隧道检测机制。当VPN隧道异常的时候,能检测到 并重新发起协商,来维持VPN隧道。
可能情况: 对端的VPN连接已经断开而我方还处在SA的有效生存期时间内,从而形 成了VPN隧道的黑洞。
我方不停的发送加密后的VPN数据过去,但对方拒绝接受。
对端断开连接而我方没有断开的可能原因: 1、对端手动清除了SA; 2、对端同时启用了按秒计时和按流量统计,而我方只支持按秒计时,如果流量太大,可 能导致在按秒计时的生存期内流量已经超出,导致对端断开连接; 3、双方存在多个出入站策略,对端删除的时候只发送了其中一个策略的删除载荷,我方 也只删除了一个策略,导致其他策略我方认为还在,但对端已经全部删除。
使用了PFS,则第二阶段要重新通过DH算法协商一个新的加密密钥,从而提高了数据的 安全性。
Phase I DH1 DH2 DH5
Phase II DH1 DH2 DH5
wk.baidu.com
结论: PFS主要是用来加强数据传输的安全性; 要启用PFS,则连接双方都要启用PFS,否则无法进行第二阶段的DH交换,从而协商 不出新的加密密钥; 启用PFS会比较消耗设备性能。
IPSEC
GRE
GRE
IPSEC
启用PFS与不启用PFS的区别?
PFS:Prefect Forward Secrecy,SANGFOR设 备上称为“密钥完美向前保密”
在IPSEC协商的第一阶段,通过DH算法进行了密钥的交互,并生成了加密密钥。
如果不使用PFS,则第二阶段的加密密钥会根据第一阶段的密钥自动生成。
一串字符串也可以。 USER_FQDN格式:电子邮件格式,例如:sangfor@sangfor.com
注意: 某些厂商是通过@符号前是否有字符串来区分是FQDN还是USER_FQDN,在对端设备配置 页面直接输入www.sangfor.com会自动在前方加入@符号。 例如:@www.sangfor.com 认为是FQDN格式
DPD检测主要靠超时计时器,超时计时器用于判断是否再次发起请求,一般来
说连续发出3次请求(请求->超时->请求->超时->请求->超时)都没有收到任
何DPD应答就会删除SA。
DATA
DATA
身份类型(ID)中的FQDN、USER_FQDN、 IPV4_ADDR都是什么?
IPV4_ADDR、FQDN、USER_FQDN只是三种不同类型的身份认证方式,可以理解为 SANGFOR VPN的用户名,主要用来确认对端身份。
zhangsan@sangfor.com 才认为是USER_FQDN格式 因此我们设备配置时要注意在对端身份ID和我方身份ID里加上@符号,否则会报ID不匹配。
什么是GRE封装的标准IPSEC?有什么用?
标准IPSEC只支持单播数据流,也就意味着广播和组播无法在IPSEC隧道里传输。 GRE:通用路由封装(Generic Routing Encapsulation),定义了在任意一种网 络层协议上封装任意一个其它网络层协议的协议。因此可以支持广播、组播甚至IPX 等协议,但是是明文传输。 因此IPSEC+GRE就成了既要安全,又要广播、组播等数据传输的首选。
标准IPSEC还包括X.509证书认证,一般很少人用。
主模式
野蛮模式
IPV4_ADDR
IPV4_ADDR
FQDN
USER_FQDN
注意:主模式下默认采用IPV4_ADDR认证标识,野蛮模式下DLAN5.0才开始支持 IPV4_ADDR认证标识。
IPV4_ADDR格式:IP地址格式,例如:123.123.123.123 FQDN格式:一般要求一个完整的域名,例如:www.sangfor.com
DPD主要是为了防止标准IPSEC出现“隧道黑洞”。
DPD只对第一阶段生效,如果第一阶段本身已经超 时断开,则不会再发DPD包。
Phase I
Phase II
我们设备DLAN5.0之前默认就已经启用了DPD,界面 不可配置;DLAN5.0开始,设备界面可以选配是否启 用DPD。
DPD包并不是连续发送,而是采用空闲计时器机制。
为什么感觉我们的VPN容易断而标准IPSEC比 较稳定?
1、工作层面不一样
SANGFOR VPN 标准IPSEC
2、工作方式不一样
标准IPSEC在协商完之后,没有启用DPD的情况下,是不会产生任何其他数据包,只有某方 的超时时间到了且有数据需要传输时,才会重新发起协商,中间过程会默认一直保持这条 IPSEC隧道。
每接收到一个IPSec加密的包后就重置这个包对应IKE SA 的空闲定时器,如果空闲定时器计时开始到计时结束过 程都没有接收到该SA对应的加密包,那么下一次有IP包 要被这个SA加密发送或接收到加密包之前就需要使用 DPD来检测对方是否存活。
DATA
ESP
DPD replay
ESP
DPD request
DLAN 互联网案例及常见故障排错
1. 为什么感觉我们的VPN容易断而标准IPSEC比较稳定? 2. 为什么设备上连接还在,但是访问不到对端,重启服务之后就可以? 3. 什么是DPD?为什么要启用DPD? 4. 身份类型(ID)中的FQDN、USER_FQDN、IPV4_ADDR都是什么? 5. 什么是GRE封装的标准IPSEC?有什么用? 6. 启用PFS与不启用PFS的区别? 7. 什么是SPI?SPI不对有什么后果? 8. 第三方对接能用多线路么?
你准备好了没? DATA
准备好了!
SANGFOR VPN在VPN连接上之后,还会通过TCP/UDP目标端口4009发送echo包, 来检测隧道是否正常,一旦多次收不到echo包,则认为隧道故障,会断开重连。
VPN故障,断开!你准备好了没?
ECHO
准备好了!
设备上显示连接还在,但是访问不到对端,重 启服务之后就可以?
排错: 1、双方把各自第一阶段的SA生存期和第二阶段的SA生存期改成跟对端完全一致; 2、在第一阶段启用DPD。
什么是DPD?为什么要启用DPD?
DPD:死亡对等体检测(Dead Peer Detection),其实它是同深信服sangfor vpn 的隧道状态保活机制类似的一种隧道检测机制。当VPN隧道异常的时候,能检测到 并重新发起协商,来维持VPN隧道。
可能情况: 对端的VPN连接已经断开而我方还处在SA的有效生存期时间内,从而形 成了VPN隧道的黑洞。
我方不停的发送加密后的VPN数据过去,但对方拒绝接受。
对端断开连接而我方没有断开的可能原因: 1、对端手动清除了SA; 2、对端同时启用了按秒计时和按流量统计,而我方只支持按秒计时,如果流量太大,可 能导致在按秒计时的生存期内流量已经超出,导致对端断开连接; 3、双方存在多个出入站策略,对端删除的时候只发送了其中一个策略的删除载荷,我方 也只删除了一个策略,导致其他策略我方认为还在,但对端已经全部删除。
使用了PFS,则第二阶段要重新通过DH算法协商一个新的加密密钥,从而提高了数据的 安全性。
Phase I DH1 DH2 DH5
Phase II DH1 DH2 DH5
wk.baidu.com
结论: PFS主要是用来加强数据传输的安全性; 要启用PFS,则连接双方都要启用PFS,否则无法进行第二阶段的DH交换,从而协商 不出新的加密密钥; 启用PFS会比较消耗设备性能。
IPSEC
GRE
GRE
IPSEC
启用PFS与不启用PFS的区别?
PFS:Prefect Forward Secrecy,SANGFOR设 备上称为“密钥完美向前保密”
在IPSEC协商的第一阶段,通过DH算法进行了密钥的交互,并生成了加密密钥。
如果不使用PFS,则第二阶段的加密密钥会根据第一阶段的密钥自动生成。
一串字符串也可以。 USER_FQDN格式:电子邮件格式,例如:sangfor@sangfor.com
注意: 某些厂商是通过@符号前是否有字符串来区分是FQDN还是USER_FQDN,在对端设备配置 页面直接输入www.sangfor.com会自动在前方加入@符号。 例如:@www.sangfor.com 认为是FQDN格式
DPD检测主要靠超时计时器,超时计时器用于判断是否再次发起请求,一般来
说连续发出3次请求(请求->超时->请求->超时->请求->超时)都没有收到任
何DPD应答就会删除SA。
DATA
DATA
身份类型(ID)中的FQDN、USER_FQDN、 IPV4_ADDR都是什么?
IPV4_ADDR、FQDN、USER_FQDN只是三种不同类型的身份认证方式,可以理解为 SANGFOR VPN的用户名,主要用来确认对端身份。
zhangsan@sangfor.com 才认为是USER_FQDN格式 因此我们设备配置时要注意在对端身份ID和我方身份ID里加上@符号,否则会报ID不匹配。
什么是GRE封装的标准IPSEC?有什么用?
标准IPSEC只支持单播数据流,也就意味着广播和组播无法在IPSEC隧道里传输。 GRE:通用路由封装(Generic Routing Encapsulation),定义了在任意一种网 络层协议上封装任意一个其它网络层协议的协议。因此可以支持广播、组播甚至IPX 等协议,但是是明文传输。 因此IPSEC+GRE就成了既要安全,又要广播、组播等数据传输的首选。