深信服IPSEC渠道高级认证培训03_第三方IPSEC对接常见问题及原因资料.pptVIP

第三方对接IPSEC常见问题及原因 培训内容 培训目标 第三方对接IPSEC常见问题及原因 1.了解常见问题 2.掌握一般的排错手段 关于标准IPSEC的一些说明 1、标准IPSEC的版本： IKE V1（1998） IKE V2（2005） RFC 2407 RFC 2408 RFC 2409 RFC 4306，同时废止RFC 2407、2408、2409 2、标准IPSEC(V1)的连接过程： A、数据协商 B、数据传输 第一阶段 第二阶段 主模式 野蛮模式 快速模式 ESP/AH，IP层传输 NATT+ESP/AH，UDP传输 目录 为什么感觉我们的VPN容易断而标准IPSEC比较稳定？ 为什么设备上连接还在，但是访问不到对端，重启服务之后就可以？ 为什么要启用DPD？什么是DPD？ 身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？ 什么是GRE封装的标准IPSEC？有什么用？ 启用PFS与不启用PFS的区别？ 什么是SPI？SPI不对有什么后果？ 第三方对接能用多线路么？ 标准IPSEC 为什么感觉我们的VPN容易断而标准IPSEC比较稳定？ 1、工作层面不一样 SANGFOR VPN 为什么感觉我们的VPN容易断而标准IPSEC比较稳定？ 2、工作方式不一样 标准IPSEC在协商完之后，没有启用DPD的情况下，是不会产生任何其他数据包，只有某方的超时时间到了且有数据需要传输时，才会重新发起协商，中间过程会默认一直保持这条IPSEC隧道。 你准备好了没？ 准备好了！ DATA DATA 为什么感觉我们的VPN容易断而标准IPSEC比较稳定？ SANGFOR VPN在VPN连接上之后，还会通过TCP/UDP目标端口4009发送echo包，来检测隧道是否正常，一旦多次收不到echo包，则认为隧道故障，会断开重连。 你准备好了没？ 准备好了！ ECHO ECHO ECHO VPN故障，断开！ 设备上显示连接还在，但是访问不到对端，重启服务之后就可以？ 可能情况： 对端的VPN连接已经断开而我方还处在SA的有效生存期时间内，从而形成了VPN隧道的黑洞。 我方不停的发送加密后的VPN数据过去，但对方拒绝接受。 设备上显示连接还在，但是访问不到对端，重启服务之后就可以？ 排错： 1、双方把各自第一阶段的SA生存期和第二阶段的SA生存期改成跟对端完全一致； 2、在第一阶段启用DPD。 对端断开连接而我方没有断开的可能原因： 1、对端手动清除了SA； 2、对端同时启用了按秒计时和按流量统计，而我方只支持按秒计时，如果流量太大，可能导致在按秒计时的生存期内流量已经超出，导致对端断开连接； 3、双方存在多个出入站策略，对端删除的时候只发送了其中一个策略的删除载荷，我方也只删除了一个策略，导致其他策略我方认为还在，但对端已经全部删除。 为什么要启用DPD？什么是DPD？ DPD:死亡对等体检测（Dead Peer Detection），其实跟SANGFOR VPN的隧道保活包干的是类似的活。当VPN隧道异常的时候，能检测到并重新发起协商，来维持VPN隧道。 DPD主要是为了防止标准IPSEC出现“隧道黑洞”。 我们设备DLAN5.0之前默认就已经启用了DPD，界面不可配置；DLAN5.0开始，设备界面可以选配是否启用DPD。 Phase I Phase II DPD只对第一阶段生效，如果第一阶段本身已经超时断开，则不会再发DPD包。 为什么要启用DPD？什么是DPD？ DPD包并不是连续发送，而是采用空闲计时器机制。 每接收到一个IPSec加密的包后就重置这个包对应IKE SA的空闲定时器，如果空闲定时器计时开始到计时结束过程都没有接收到该SA对应的加密包，那么下一次有IP包要被这个SA加密发送或接收到加密包之前就需要使用DPD来检测对方是否存活。 DATA ESP DATA DPD request DPD replay DATA ESP DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来说连续发出3次请求（请求-超时-请求-超时-请求-超时）都没有收到任何DPD应答就会删除SA。 身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？ IPV4_ADDR、FQDN、USER_FQDN只是三种不同类型的身份认证方式，可以理解为SANGFOR VPN的用户名，主要用来确认对端身份。 标准IPSEC还包括X.509证书认证，一般很少人用，我们也不支持。 主模式 野蛮模式 IPV4_ADDR IPV4_ADDR FQDN USER_FQDN 请注意：我司主模式下默认采用IPV4_ADDR认证标识，野蛮模式下DLAN5.0才开始支持IPV4_ADDR认