深信服IPSEC渠道高级认证培训03_第三方IPSEC对接常见问题及原因

排错：
1、双方把各自第一阶段的SA生存期和第二阶段的SA生存期改成跟对端完全一致； 2、在第一阶段启用DPD。
为什么要启用DPD？什么是DPD？
DPD:死亡对等体检测（Dead Peer Detection），其实跟SANGFOR VPN的隧 道保活包干的是类似的活。当VPN隧道异常的时候，能检测到并重新发起协商， 来维持VPN隧道。 DPD主要是为了防止标准IPSEC出现“隧道黑洞”。 DPD只对第一阶段生效，如果第一阶段本身已经 超时断开，则不会再发DPD包。 Phase I Phase II
如果不使用PFS，则第二阶段的加密密钥会根据第一阶段的密钥自动生成。 使用了PFS，则第二阶段要重新通过DH算法协商一个新的加密密钥，从而提 高了数据的安全性。 Phase I Phase II
DH1
DH2 DH5
DH1
DH2 DH5
启用PFS与不启用PFS的区别？
结论： PFS主要是用来加强数据传输的安全性；
第三方对接IPSEC常见问题及原因
培训内容
第三方对接IPSEC常见问题及原因
培训目标
1.了解常见问题
2.掌握一般的排错手段
关于标准IPSEC的一些说明
1、标准IPSEC的版本： IKE V1（1998） IKE V2（2005）
RFC 2407 RFC 2409 RFC 2408 2、标准IPSEC(V1)的连接过程：
不到对端，重启服务之后就可以？
可能情况： 对端的VPN连接已经断开而我方还处在SA的有效生存期时间内，从 而形成了VPN隧道的黑洞。 我方不停的发送加密后的VPN数据过去，但对方拒绝 接受。
设备上显示连接还在，但是访问
不到对端，重启服务之后就可以？
对端断开连接而我方没有断开的可能原因： 1、对端手动清除了SA； 2、对端同时启用了按秒计时和按流量统计，而我方只支持按秒计时，如果流量太大， 可能导致在按秒计时的生存期内流量已经超出，导致对端断开连接； 3、双方存在多个出入站策略，对端删除的时候只发送了其中一个策略的删除载荷， 我方也只删除了一个策略，导致其他策略我方认为还在，但对端已经全部删除。
IPV4_ADDR、FQDN、USER_FQDN只是三种不同类型的身份认证方式，可以理 解为SANGFOR VPN的用户名，主要用来确认对端身份。 标准IPSEC还包括X.509证书认证，一般很少人用，我们也不支持。 野蛮模式 IPV4_ADDR FQDN USER_FQDN 请注意：我司主模式下默认采用IPV4_ADDR认证标识，野蛮模式下DLAN5.0 才开始支持IPV4_ADDR认证标识。
结论： SPI不匹配会导致IPSEC无法正确处理加密的数据包，导致数据传输有问题。
排错： 当出现如下提示时，则只能重新建立这个IPSEC连接： DLAN总部 调试 12:17:25 [Isakmp_Server]无效的SPI(可能是随机生成的SPI发生冲 突,请重新发起一次连接).
第三方对接能用多线路么？
DATA
准备好了！
为什么感觉我们的VPN容易断而标
准IPSEC比较稳定？
SANGFOR VPN在VPN连接上之后，还会通过TCP/UDP目标端口4009发送echo包， 来检测隧道是否正常，一旦多次收不到echo包，则认为隧道故障，会断开重连。
VPN故障，断开！你准备好了没？
ECHO
准备好了！
设备上显示连接还在，但是访问
RFC 4306，同时废止RFC 2407、2408、2409
主模式 第一阶段 第二阶段 野蛮模式 快速模式
A、数据协商 B、数据传输
ESP/AH，IP层传输 NATT+ESP/AH，UDP传输
• • • • • • • •
为什么感觉我们的VPN容易断而标准IPSEC比较稳定？ 为什么设备上连接还在，但是访问不到对端，重启服务之后就可以？ 为什么要启用DPD？什么是DPD？ 身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？ 什么是GRE封装的标准IPSEC？有什么用？ 启用PFS与不启用PFS的区别？ 什么是SPI？SPI不对有什么后果？ 第三方对接能用多线路么？
因此IPSEC+GRE就成了既要安全，又要广播、组播等数据传输的首选。
IPSEC GRE
GRE IPSEC
启用PFS与不启用PFS的区别？
PFS：Prefect Forward Secrecy， SANGFOR设备上称为“密钥完美向前保密”
在IPSEC协商的第一阶段，通过DH算法进行了密钥的交互，并生成了加密密 钥。
标准IPSEC协议没有定义多线路这种情况，也就是标准IPSEC不支持多线路环境下 的使用，只能用一条线路。 4.3版本之前始终通过默认路由指 向的那条线路跟对端建立标准 SANGFOR设备上有多 IPSEC连接。 条线准IPSEC从哪条线路走。
什么是SPI？SPI不对有什么后果？
SPI ：安全参数索引（Security Parameter Index），由IKE自动分配。
发送数据包时，发送方会把SPI插入到IPSec头中。
接收方收到数据包后，根据SPI值查找SAD和SPD，从而获知解密 数据包所需的加解密算法、hash算法、封装模式、目的IP地址等。
要启用PFS，则连接双方都要启用PFS，否则无法进行第二阶段的DH交换，从而 协商不出新的加密密钥；
启用PFS会比较消耗设备性能。 排错：
1、检查连接的双方是否都启用了PFS，确保两边都启用或者都禁用；
2、启用PFS后，SANGFOR设备默认只支持两个阶段DH组一致，如果对方是可 以配置DH组的，需要把两个阶段的DH组设置成一致。
数据从线路1进来，但是 指定标准IPSEC走线路2， 这样能连么？能用么？ 这种情况下不管是主模式还是野 蛮模式，因为协商的时候回给对 端的源IP跟对端发起访问的目标 IP不一致，标准IPSEC连接无法 正常建立。
第三方对接能用多线路么？
多线路情况下如何使用标准 IPSEC建立VPN连接？ 如果有条线是拨号，有时断开重拨， 导致缺省路由发生了切换，怎么办？ 升级到DLAN4.3版本，指定线 路出口解决。 保证VPN对端连的是 缺省路由所在的那条 线就行了，或者是标 准IPSEC指定的那条 线就行。
什么是GRE封装的标准IPSEC？有什么用？
标准IPSEC只支持单播数据流，也就意味着广播和组播无法在IPSEC隧道里传输。 GRE：通用路由封装（Generic Routing Encapsulation），定义了在任意一 种网络层协议上封装任意一个其它网络层协议的协议。因此可以支持广播、组 播甚至IPX等协议，但是是明文传输。
目录
为什么感觉我们的VPN容易断而标
准IPSEC比较稳定？
1、工作层面不一样
SANGFOR VPN
标准IPSEC
为什么感觉我们的VPN容易断而标
准IPSEC比较稳定？
2、工作方式不一样 标准IPSEC在协商完之后，没有启用DPD的情况下，是不会产生任何其他数据包，只有 某方的超时时间到了且有数据需要传输时，才会重新发起协商，中间过程会默认一直保 持这条IPSEC隧道。 你准备好了没？
问题思考
1.身份类型（ID）中的FQDN、USER_FQDN的填写格
式分别是？
2.在主模式和野蛮模式下，我司类型分别支持哪种身份 类型（ID）？
3.第三方IPSEC对接是否支持多线路选路？

我们设备DLAN5.0之前默认就已经启用了DPD，界 面不可配置；DLAN5.0开始，设备界面可以选配是 否启用DPD。
为什么要启用DPD？什么是DPD？
DPD包并不是连续发送，而是采用空闲计时器机制。
每接收到一个IPSec加密的包后就重置这个包对应IKE SA的空闲定时器，如果空闲定时器计时开始到计时结束 过程都没有接收到该SA对应的加密包，那么下一次有IP 包要被这个SA加密发送或接收到加密包之前就需要使用 DPD来检测对方是否存活。 DATA
主模式 IPV4_ADDR
身份类型（ID）中的FQDN、 USER_FQDN、IPV4_ADDR都是什么？
IPV4_ADDR格式：IP地址格式，例如：123.123.123.123 FQDN格式：一般要求一个完整的域名，例如： 一串字符串也可以。 USER_FQDN格式：电子邮件格式，例如：sangfor@ 注意： 某些厂商是通过@符号前是否有字符串来区分是FQDN还是USER_FQDN，在对端 设备配置页面直接输入会自动在前方加入@符号。 例如：@ 认为是FQDN格式 zhangsan@ 才认为是USER_FQDN格式 因此我们设备配置时要注意在对端身份ID和我方身份ID里加上@符号，否则会报ID 不匹配。
ESP
DPD replay DPD request
ESP
DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来 说连续发出3次请求（请求->超时->请求->超时->请求DATA ->超时）都没有收到任何 DPD应答就会删除SA。 DATA
身份类型（ID）中的FQDN、 USER_FQDN、IPV4_ADDR都是什么？