取决于其大小和配置,即使您并非所有关于IPSec实际工作方式的知识渊博,也可以相对容易地易于轻松地进行设计和部署。But, if you don't understand how IPsec works and you don't apply a good troubleshooting methodology, then when your IPsec VPN breaks or doesn't work in the first place, you'll probably have to resort to what I call ‘stab-in-the-dark' (SITD) troubleshooting.
SITD故障排除是随机的,耗时的,并且通常不会解决您的问题 - 它甚至会加剧它。因此,为了帮助您节省一些时间和挫折,我以为我会编写一系列短暂的博客文章,可以帮助您使用一步一步,易于理解的过程以加速方式修复破坏的IPSec VPN。
在实际上跳入IPSec故障排除过程的描述之前,它是(如前所述)非常重要,以了解IPSec VPN的工作。在本博客文章中,我快速查看一些主要组件,然后再次继续下次进行实际故障排除方法。我将从网站到网站IPSec VPN开始,然后在稍后的博客文章中讨论远程访问IPSec VPN。
在一个站点到站点VPN中,在组织的网站之间建立了IPsec隧道,并且所有流量都经过身份验证和/或加密,因为它通过了介入网络。
IPSec由许多元素组成,包括以下内容:
- 加密算法:这些包括MD5-HMAC-96,SHA-HMAC-96,DES和AES。
- 安全协议:IPSec使用两个安全协议,身份验证标题(AH)和封装安全有效载荷(ESP)。
AH是一个数据包标题,可提供无连接完整性,数据原始身份验证和可选的重放保护。ESP是一个数据包标题,可提供无连接完整性,数据原产地认证,可选重放保护,数据机密性和有限的流量流量机密性(仅在隧道模式下可用)。
- 安全关联(SAS):IPSec SA在性质上是单向的,并定义特定流量流量的流量是由IPSec保护的。通过安全参数索引(SPI)标识IPSec SA,并且包括安全协议,安全协议模式,加密算法和SA生命周期的信息。
- IPSec数据库:IPSec定义了三个数据库,以确保正确处理IP流量(关于IPSec)。这些是安全策略数据库(SPD),安全关联数据库(SAD或SADB)以及对等授权数据库(PAD)。
SPD指定应由IPSec和流量保护的流量,该流量应绕过IPSec。SPD为所有入站和出站流量都有咨询。
SAD或SADB包含一个包含与每个IPSec SA和SPD接口相关的信息,以确保正确的IPSec数据包处理。
PAD提供Internet密钥交换机(IKE)协议和SPD之间的链接。PAD指定IPSec设备被授权使用对等体协商IPSec SA的身份(例如,IP地址)的范围;它还指定如何验证对等体
- SA和关键管理技术:IPSec允许两种用于管理IPsec SAS和Keys的方法:手动SA和通过IKE协议的关键管理和自动管理和密钥管理。
管理IPSec SA和键的一种方法是在IPSec对等体上手动配置SAS和键控材料。IPSec SAS和键控材料的手动配置类似于静态路由的配置(虽然更多涉及),就像静态路由的配置一样,IPSec SAS和键控材料的手动配置不可缩放
IKE协议允许IPSec对等体相互动态认证,生成键控材料,并协商IPSec SAS。
IKE有两个版本:IKE版本1(IKEv1)和IKE版本2(IKEv2)。IKEV1由许多协议的元素组成,包括SKEME,Oakley键确定Protocoll和Internet安全协会和密钥管理协议(ISAKMP)。
ikev1协商分为两个阶段和三种模式。在第1阶段,IPSec对等体建立IKE SA。此IKE SA用于保护阶段2谈判,然后用于协商IPSec SAS。
IKEv1阶段1可以使用主模式协商(典型的站点到站点VPN)或攻击模式。另一方面,ikev1阶段2使用快速模式协商。值得注意的是,在第1阶段期间协商的IKE SA是双向的,但在第2阶段协商的IPSec SA是单向的。
在IKE阶段1主模式协商期间,两个IPSec对等体交换了三对消息,共提供六条消息。这些消息的功能如下:
- 第一对消息(消息1和2) - 这些用于协商IKE策略参数,例如散列算法,加密算法和认证方法。使用这些参数使用该参数Crypto Isakmp政策优先命令。
- 第二对消息(消息3和4) - 这些消息用于交换Diffie-Hellman公共值和非(随机数)。
Diffie-Hellman Exchange允许IPSec对等体同意共享密钥。随着IPSec对等体上的会话键计算中的键控材料用作键控材料。
IPSec对等体现在生成名为SkeyID的四个会话键中的第一个。然后使用SKEYID计算另一个三个会话键(SKEYID_D,SKEYID_A和SKEYID_E)。IKE阶段2键源自SKEYID_D。IPSec对等体进行身份验证和加密剩余的IKE阶段1和使用SKEYID_A和SKEYID_E彼此发送的阶段2消息。
- 第三对消息(消息5和6) - 这些消息用于交换标识并彼此对IPsec对等体进行身份验证。
第1阶段现在完成,并且在IPSec对等体之间建立了IKE SA。
下图说明了IKE阶段1(主模式)协商:
当IKE阶段1协商完成时,阶段2可以开始。IKE阶段2谈判的目的是建立了IPSec SAS。然后,这些IPSec SAS将用于保护用户流量,因为它在IPSec对等体之间传输中间网络。
IKE第2阶段协商包括三条消息:
- 消息1-此消息由发起者发送,并包含IPSec SA提案,例如加密算法,散列算法和IPSec寿命。使用IPSec提案(转换)使用Crypto IPSec变换集命令。
- 消息2-此消息可用于接受消息1中发送的IPSec提案之一。
- 消息3-此消息用作消息2的确认。
一阶段2完成后,您的IPSec VPN应该能够在您的网站之间传输流量。这假设一切都在计划!
下图显示了IKE阶段2(快速模式)协商:
下次,我将描述一种以快速有效的方式对IPsec VPN进行故障排除的方法。
标记。