设为首页   锐捷官网
用其他帐号登录:
查看: 1094|回复: 0

[安全] VPN >> IPSEC VPN >> 常见咨询

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-5-8 17:56:58 | 显示全部楼层 |阅读模式
1、 * 阶段是否支持野蛮模式

支持,建议升级到2.60.11.3版本及以上。

4.png
注意:

a)作为服务器端,勾选了积极模式,那么对方发起协商主模式、积极模式都可以接受协商;

b)作为客户端,勾选了积极模式,那么发起的协商为积极模式协商;

c)如果双选预共享密钥和数字签名,作为客户端的话发起协商默认只以数字签名方式发起协商,(做为客户端如果想要只使用预共享密钥,就只能开启预共享密钥选项)


2、如何设置IPSEC * 阶段参数

VPN * 阶段的策略不能配置,默认IPSEC的 * 阶段存在sha1/md5、des/3des、dh1/2/5的组合12种,对端匹配任意一种即可,VPN * 阶段在2.60.x及更高版本支持野蛮模式,其他版本只支持主模式,默认lifetime为8小时。


3、 * 阶段lifetime为多长时间,如何设置

* 阶段SA存活时间为 * 阶段SA存活时间的的1/4,且不能修改。( * 阶段默认为8H,因此 * 阶段lifetime默认为2小时)


4、IPSEC需要使用的端口

udp500、udp4500

如果开启隧道自动启动功能,需要再放通udp50000端口


5、VPN设备放置在NAT设备后时,配置IPSEC需要注意什么

如果VPN不作为出口设备,只作为NAT网络下的旁挂或者内网串接设备,建立VPN设备时需要用字符标识或者证书方式,不能用地址标识


6、两边VPN设备的保护子网存在重叠,如何处理

当IPSEC两边的保护子网存在冲突时,可以用IPSEC的虚子网功能解决,将两边冲突的子网都设置为内网中不存在的其他网段。


7、VPN的IPSEC是否需要流量触发去建立

不需要。设置好后,主动发起的一方会自动发起连接,隧道建立后,感兴趣流才能通信,否则流量会被丢弃


8、VPN的启动探测功能有什么用

1)、探测对端 * 阶段的SA是否存在,不存在则将隧道断开; 2.50.72.12版本开始,DPD采用公有格式,在此版本之前的均为私有格式,与其他设备对接时,不能选择启动探测选项;

2)、探测时间:如果探测隧道不存在,那么会在大于一倍探测时间、小于两倍探测时间内会探测到隧道不存在,从而清除隧道协商的状态,如果是服务器模式,那么会变成就绪状态;如果是客户端模式,那么会继续重新发起(需要在隧道配置勾选自动启动);


9、VPN同一个接口启用IPSEC,是否用证书方式后就不能用预共享密钥方式

在2.60.11.3版本之后,同一个接口既可以使用证书方式、又可以使用预共享密钥方式认证;

在2.60.11.3版本之前,有如下限制:

VPN作为服务端时,只能用一种方式;

VPN作为客户端时,同一个接口,可以同时用预共享密钥方式和证书方式与其他站点进行对接。


10.VPN设备是否支持与wall1600系列防火墙对接IPsec VPN

可以支持,预共享密钥与数字证书方式都支持。


11.VPN设备站点到站点IPsce VPN隧道探测原理

在ipsec隧道正常建立时,客户端使用密文探测,如下:

[debug@RG-WALL]# tcpdump -i  eth1  port 500  or port 50000

tcpdump: listening on eth1

tcpdump: WARNING: compensating for unaligned libpcap packets

17:39:22.612353 1.24.178.194.500 > 126.113.105.10.500: [|isakmp] (DF)

17:39:25.669375 126.113.105.10.500 > 1.24.178.194.500: [|isakmp] (DF)


当密文探测不通时,VPN客户端发送UDP 50000端口的明文探测报文,如果收到明文探测报文,及重新协商建立IPsec隧道。

17:41:31.800368 1.24.178.194.50000 > 126.113.105.10.50000:  udp 16 (DF)


12、VPN网关建立站点到站点IPSec隧道,同时提供IPSec拨入服务,远程拨入用户能否访问对端子网

支持,在 IPSec VPN--IPSec用户管理--允许保护子网中,添加要访问的子网资源;同时在隧道设置中,添加IPSec拨入用户的虚地址网段。


13、ipsec配置标识要注意什么问题

a)如果存在地址转换环境,那么配置IP标识的时候需要注意转换地址的填写,即本地ip标识要填写成转换的IP;

b)如果同时存在网关到网关、IPSEC客户端到网关的情况下,网关到网关不能配置FQDN标识。因为IPSEC客户端协商标识用的是FQDN标识;



14、ipsec标识如何配置通配

标识的通配只能配置在对端标识上面;

1)、IP通配:

不填写标识自动,即全部IP通配

2)、FQDN通配:

配置“*”即可

3)、证书DN通配:

填写“/CN=*”即可


15、ipsec 任意标识的作用

配置对端标识为任意标识的话,表示任意标识都可接受(IP、FQDN、证书主题);

所以如果同接口只存在一条隧道配置的话,可以配置任意标识,但是如果同接口存在大于一条隧道配置的话,那么就千万不要配置任意标识,因为可能会对另外一条隧道配置造成协商匹配错误的情况;


16、ipsec保护子网为any如何配置

不能配置0.0.0.0。需要配置成两条:0.0.0.0/128.0.0.0、128.0.0.0/128.0.0.0


17、IPSEC多隧道备份需注意的问题

需要确保以下几点:

a)在 * 选项中勾选“支持IKE多隧道”

b)两条隧道的保护子网需要一致

c)两条隧道的主隧道权重需要大于0,备份隧道权重需要等于0

d)必须启用隧道探测


18、IPSEC多隧道均衡注意的问题

需要确保以下几点:

a)在 * 选项中勾选“支持IKE多隧道”和“IPSEC隧道通信按照链接进行分发”

b)两条隧道的保护子网需要一致

c)两条隧道的主隧道权重需要大于0,备份隧道权重需要大于0

d)必须启用隧道探测 注意:均衡分配不是根据协议分配,而是IP地址进行链接分发



19、如果查看设备是否支持国密加密卡

如果设备上插了国密卡,那么有几点需要判断:

1)、国密卡是否存在,查看隧道的算法选择,如果读取到了国密卡,那么算法可以选择国密办算法;如果读取不到国密卡,那么算法选择的国密办算法是灰色的。

3.png
2)、在命令行debug目录中运行hectest命令查看加密卡运行情况:General代表正常;如果是unknown,那么说明加密卡有问题。

RG-WALL login: debug

[debug@RG-WALL]# hectest

Hard Encrypt Card Test

Card Model: SJY115E

# Openning Card...Success!

# SM1 Test:

## ECB Algorithm: Algorithm Type:

General(SM1)

## ECB Speed:

Encrypted 1024 bytes data 10000 times in 1314399us, speed = 62325064.000(59.438M)bps

## ECB ErrorRate:

Encrypted and decrypted 1024 bytes data 10000 times, error 0 times

## CBC Algorithm:

Algorithm Type: General(SM1)

## CBC Speed:

Encrypted 1024 bytes data 10000 times in 1419820us, speed = 57697456.000(55.025M)bps

## CBC ErrorRate:

Encrypted and decrypted 1024 bytes data 10000 times, error 0 times

# Closing card...finished!

Test Completed!

[debug@RG-WALL]#



20、如果查看VPN有加速卡

如果设备上插了加速卡,那么查看隧道的算法选择,如果读取到了加速卡,那么算法可以选择加速卡算法:
2.png
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则