设为首页   锐捷官网
用其他帐号登录:
查看: 1289|回复: 0

[安全] UAC 6000 >> IPsec-VPN >> 常见咨询

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-6-1 14:39:25 | 显示全部楼层 |阅读模式
1.IPSec在VPN的接入实施中起到什么作用

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。

IPSsec 使用了两种安全协议:

1)、AH(AuthenticationHeader) 协议;

它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务;

2)、ESP(EncapsulatedSecurityPayload) 协议;

它提供 IP层加密 * 和验证数据源以对付网络上的监听;因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地 * 数据传输安全, 有了另外一个报头 ESP,进一步提供数据保密性并防止篡改;


2.ISP提供商没有提供VPN服务,我是否可以使用VPN技术

可以,用户可以使用客户端软件由客户端的PC机、或者使用防火墙与对端建立起VPN连接(通过L2TP、PPTP以及IPSec等),在这里ISP所扮演的角色仅仅是在两个VPN终点间路由IP数据流量的网关;


3.什么是IKE,它的作用是什么

Internet Key Exchange,因特网密钥交换。它的作用是协助IPSec进行安全管理;

IKE在进行IPSec处理过程中对身份进行鉴别,同时进行安全策略的协商和会话密钥的交换工作;


4.在安全策略上启用了IPSec vpn,为什么不能建立IPSec连接

1)、是否使能了该安全策略;

2)、需要保护的数据流量是否匹配了该安全策略;

3)、两端设备的配置是否一致;


5.在IPSec做NAT穿越时为什么会不通

1)、做NAT时不支持AH封装,检查 * 阶段是否设置了AH封装。

2)、检查 * 阶段的localid是否设置正确

3)、中间设备是否过滤了IKE 或者 AH、ESP报文


6.IPSec SA的生命周期是否可以同时根据秒数和流量数决定

可以,只需要在图形界面上设置成两者都有或者在命令行上同时设置生存周期是秒数和字节数即可


7.SA的生命周期到期了会怎么样?是否可以同时根据秒数和流量数决定

SA到期前,IPSec会重新协商一个新的作为备份


8.清除IPSec SA会影响IKE SA么

清除IPSec SA不会影响IKE SA,但是清除IKE SA会一并清除IPSec SA;


9.IPSec出接口up/down是否会影响SA

只有IPSec策略关联的接口up/down才会清除关联的SA


10.手工方式建立的IPSec SA可以做NAT穿越吗

不能,手工方式建立的IPSec不支持NAT穿越


11.如果对端的地址是动态的,是否能建立IPSec连接

能,只需要把 * 阶段的对端地址设置成dynamic即可。需要注意的是设备只能作为响应者等待对方的协商


12.IPSec只支持物理口吗

除物理口外,IPSec还可以支持桥口、vlan口下的通信


13.隧道总是协商不起来,怎么进行排错

协商不起来有一般三种情况:对方根本没响应;一阶段协商过程中;二阶段协商过程中;

针对一:

1)、检查数据包时候匹配了IPSec安全策略;

2)、如果有源NAT,在NAT转换的目的地址里时候把IPSEC对端私网地址排除;

针对二:

1)、 一阶段的内容比较多,重新输入一遍预共享密钥(很容易出错),如果是证书,请检查CA证书是否配好;

2)、检查本地出口到对方出口是否能通联通;

针对三:

1)、查看两端 * 阶段配置是否一致;
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则