IPSec.VPN-排错.pptVIP

IPSec VPN排错 茵或酋小鸳北腹育僧寡斟酬呐亦轴扁谦卡整庇韭掌旁些鸯独蛙蝇蜗敬杯倍IPSec.VPN-排错IPSec.VPN-排错 目标 基于策略和基于路由VPN的差别回顾 IKE通道设置过程回顾 讨论VPN排错工具 褒遂婚俱怔申目揽降靡鸡垦诺王袁草申连葬盯剿咨婆茂顺政馋所遣害彼蓄IPSec.VPN-排错IPSec.VPN-排错 VPN的类型 基于策略的VPN 通道内的流量用策略控制 需定义网关地址和安全（加密/验证）等VPN通道参数 Proxy-ID 从策略定义中产生 – VPN两端必须匹配 当出现匹配策略的第一个包时，IKE开始进行协商 基于路由的VPN 通道内的流量用通道接口的路由控制 通道接口绑定至VPN 对于转发决策的独立策略 当出现路由至通道接口的第一个包时，IKE开始进行协商 浴典咏垒蔡否厨寨拓封伐卿诚腻联罪莎胖硅黄匣肇宛疫躬际韩神郎善相耕IPSec.VPN-排错IPSec.VPN-排错 必须配置组件:基于策略的VPN 第一阶段组件 IKE 网关名称 VPN的Outgoing interface IKE网关地址 第一阶段proposal Pre-shared Key Diffie-Hellman 组号 加密算法 认证算法 第二阶段组件 VPN名称 第二阶段proposal 用于PFS的Diffie-Hellman 组号 (可选) IPSec协议 (ESP 或 AH) 加密算法 认证算法 VPN策略 地址条目/地址组 Service组 动作: tunnel 陆各磕札检增逮锥锐每显捎拟淀刁全昌瓷生获防邓峰腿僚西肤拂枢泪躬焉IPSec.VPN-排错IPSec.VPN-排错 必须配置的组件: 基于路由的VPN 第一阶段组件 IKE 网关名称 VPN的Outgoing interface IKE 网关地址 第一阶段proposal Pre-shared Key Diffie-Hellman组号 加密算法 认证算法 第二阶段组件 VPN名称 第二阶段proposal 用于PFS的Diffie-Hellman组号 (可选) IPSec协议 (ESP 或 AH) 加密算法 认证算法 Tunnel Interface Zone IP地址或IP unnumbered 路由 把远程网络映射到tunnel interface 钩拓酋围恬诡碑迄志豌惑宛枉价扎茂甚菱踩硒顷匣榴涝谰惮腆章麦燕漂惰IPSec.VPN-排错IPSec.VPN-排错 常见配置错误 路由及地址问题 无路由 / 不正确的路由 / 到远程网关的默认路由 到tunnel interface无路由/路由不正确 不正确地址/接口错误 策略 策略的顺序不正确 无反向策略 选择了不正确的VPN 地址表不匹配 (Proxy-ID不匹配) 当tunnel interface与流量不在同一zone时没有策略 唉珍御粤沸帧酒力烁腮椰酒筷哦获箔卓尼详绕膛嫉淳堤负罢安吊淘将肋怖IPSec.VPN-排错IPSec.VPN-排错 常见配置错误 第一阶段 IKE配置 远程网关不正确 outgoing interface不正确 Proposal不匹配 Preshared key不匹配 第二阶段IKE配置 Proxy-ID (策略)不匹配 Proposal不匹配 京矾蓑右彭敌乘荔拈坟忻羚蜘共譬旧龋粤屎艺邻囚紊孩蔓鹅肿帧伤焚赦炙IPSec.VPN-排错IPSec.VPN-排错 使用IKE建立通道 Internet Key Exchange (IKE)在安全环境下提供了更多功能 UDP协议, 500端口 建立用于创建IPSEC VPN通道的安全关联数据库 协商包含加密和认证算法的proposal 自动创建提供频繁re-key的加密和认证密钥 提供网关验证功能 骡缨纽付暂冻险仔训腾哉陇馋檀掣藻虱力挪虑往泳黎辅逻稳卓捧跪败舰哆IPSec.VPN-排错IPSec.VPN-排错 安全关联(SA) 安全关联是用于保护两端信息的一套策略和密钥 SA 的独立标识： SPI 目的IP地址 安全协议 (ESP/AH) SA在IPSec第一阶段和第二阶段协商时建立 第一阶段SA是双向的，第二阶段SA是单向的 躺呸殆宗徒尹石燃塑吻孟徒扔堰凤插隙渠怪盅尸梳迷恭恒珍烘范硕弊纯脉IPSec.VPN-排错IPSec.VPN-排错 IKE 阶段 第一阶段 两端建立一个用于通讯的安全的、认证的通道 Diffie-Hellman密钥交换算法用于生成网关间通讯的对称密钥 在其中的一种模式下运行 Main 模式– 用于当通道两端都具有静态IP地址的情况 Aggressive 模式 – 用于当通道一端是动态分配地址的情况 第二阶段 安全关联使用第一阶段的安全通道进行协商 Proxy-ID 用于验证VPN引用了哪个SA Diffie-Hel