1、什么是IPSec VPN

 IPSec （IP Security ）是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击。 IPSec不是一个单独的协议，而是一组协议，IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案，已经成为工业标准的网络安全协议。

 

2、RSR系列路由器是否支持野蛮模式下的IPSEC IKE协商

支持。

 

3、什么是IPSEC NAT-T

传统两个IPSEC VPN加密点间经过NAT网关设备后，由于IPSEC IKE/ESP协议特性将会导致两个加密点间无法正常协商或通信异常。NAT-T通过在IKE中协商使用UDP协议来封装IPSEC数据包，从而解决了该问题。

 

4、RSR系列路由器是否支持NAT穿越（NAT-T）

支持。

 

5、RSR系列路由器是否支持野蛮模式下的NAT-T

支持

 

6、IPSEC双方如何进行NAT穿越（NAT-T）能力检测

NAT-T能力检测是发生在IKE协商的第一阶段。且在第一阶段的1,2两个消息报文中完成的，通过在消息报文中加入一个vendor ID的载荷，在RFC3947中定义，该值通过hash算法后为十六进制数字：vendor_id=0x4a 0x13 0x1c 0x81 0x7 0x3 0x58 0x45 0x5c 0x57 0x28 0xf2 0xe 0x95 0x45 0x2f，该值在第一,二个报文中都是一致的，用于检测对端是否支持NAT-T。

双方协商时，打开debug cry iskamp可以看到打印报文中携带该vendor_id。通过抓包，也可以看到IKE报文中携带该值，如下：

 

7、IPSEC主模式下共有几个协商报文，各有什么作用

第一阶段共有6个协商报文；第1、2个报文用于策略协商；第3、4个报文用于DH值交换；第5、6个报文用于身份验证（如预共享密码验证或数字证书验证）。

 

8、isakamp和ipsec默认lifetime是多久，以及如何修改

isakamp sa默认1天；ipsec sa默认1小时。

修改isakmp sa的生存时间：

crypto isakmp policy 1

 lifetime 3000  //单位为秒

修改ipsec sa的生存时间：

crypto map my_map 1 ipsec-isakmp

 set security-association lifetime seconds 3000  //单位为秒

 

9、show crypto ipsec sa信息说明

ruijie#show crypto ipsec sa

Interface: Async 1                                        //本地加密接口

         Crypto map tag:3gtest, local addr 30.160.230.11  //用于与对端协商的本地IP地址

         media mtu 1500

         ==================================

         item type:static, seqno:1, id=32

         local  ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))   //感兴趣流源网段

         remote  ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0))  //感兴趣流目的网段

         PERMIT

         #pkts encaps: 336, #pkts encrypt: 336, #pkts digest 0 //本端口所发出的封装、加密、摘要报文的个数

         #pkts decaps: 58, #pkts decrypt: 58, #pkts verify 0  //本端口所收到的解封装、解密、验证报文的个数

         #send errors 0, #recv errors 0 //发送、接收错误报文的个数

 

         Inbound esp sas:

              spi:0x39aea73c (967747388) //SA入spi号

               transform: esp-sm1        //使用的转换集

               in use settings={Tunnel,} //隧道模式

crypto map 3gtest 1           //调用的map名称

sa timing: remaining key lifetime (k/sec): (4606685/3364)  //SA的lifetime：剩余的流量及时间

               IV size: 16 bytes

               Replay detection support:N

         Outbound esp sas:

              spi:0x437d9610 (1132303888) //SA出spi号

               transform: esp-sm1         //使用的转换集

               in use settings={Tunnel,}  //隧道模式

               crypto map 3gtest 1

sa timing: remaining key lifetime (k/sec): (4606685/3364) //SA的lifetime：剩余的流量及时间

           IV size: 16 bytes

               Replay detection support:N

 

10、RSR77系列路由器 国密办SM1加密算法使用限制

1）需要使用DNME-SEC线卡才能支持SM1

2）一张DNME-SEC线卡插入SIP-2，该SIP-2卡及所有的DFNM-8GE卡支持SM1

3）其他线卡不论是否插DNME-SEC线卡，暂不会支持SM1算法

 

11、RSR系列路由器从哪个版本开始支持IPSEC反向路由注入（RRI）

RSR10/20：10.3（5b6）及之后的版本

RSR30:10.4(3b11)及之后的版本

具体配置方法：

Ruijie(config)#cry map mymap 10 ipsec-isakmp

Ruijie(config-crypto-map)#reverse-route ?

  <1-255>      Distance    //指定注入路由的管理距离

  remote-peer  Match address of packets to encrypt    //指定只针对特定peer进行反向路由注入

  <cr>         

 

12、什么是IPSEC的DPD功能

IPSEC使用DPD（dead peer detection）功能来检测对端peer是否存活，类似到其它协议中的hello或keepalive机制，目前我司 DPD支持两种机制：

1）on-demand 机制，该机制在隧道闲置时间超过指定配置的时间，且此时有报文发送，才会刺激发送 DPD探测消息。

2）periodic机制，该机制是在超过配置的时间后就会主动发送 DPD 探测消息。最大重传次数5次。

on-deman机制配置：Ruijie(config)#cry isakmp keepalive 10 //配置隧道闲置时间为10秒，采用on-demand机制。

periodic机制配置：cry isakmp keepalive 10 periodic   //配置隧道闲置时间为10秒，采用periodic机制。

 

13、RSR系列路由器是否支持ipsec自动触发隧道及永久在线功能

RSR10、RSR20需升级至10.3（5b6）及之后的版本才支持。

RSR30需升级至10.4（3b11）及之后的版本才支持。

配置方法如下：

crypto map mymap 10 ipsec-isakmp

 set autoup

 

14、RSR系列路由器支持哪些类型的证书导入方式

1）离线导入：包括pem、p12格式的证书导入。

2）在线申请：通过SCEP协议申请。

3）离线申请

 

15、有关IPSEC反向路由注入功能所注入静态路由的说明

目标网段：IPSEC感兴趣流的目的网段

下一跳：为ipsec peer的地址

前提：该路由器上要存在一条到达ipsec peer 地址的明细路由，注意不能使用默认路由到达ipsec 的peer。

 

16、RSR系列路由器SM1加密算法是否与其它厂商兼容

我司RSR路由器 SM1加密算法是标准实现的，若其它厂商设备也是标准实现，那么可以兼容。

 

17、RSR路由器3G解决方案中有IPsec环境中一打开视频监控其他业务就开始丢包，接口流量未跑满

可能和大包有关系（运营商处理分片报文有问题），可以通过调整IPsec的进入 报文的大小。

crypto map myipsec 1 ipsec-isakmp

 set mtu 1400

 

18、IPSEC的感兴趣流是基于时间的ACL时，时间是否生效

       不生效，不存在该功能。

 

19、在RSR30/77中实现xauth功能，3G路由器和移动终端是否能够共存？ 

     可以，需要配置以下兼容命令，crypto isakmp no-force-xauth

       该命令在RSR30 10.43b13p2版本，以及RSR77 10.4 3b21版本才有支持

 

20、Xauth功能是否能够通过aaa服务器来分配ip地址

       可以，配置参考实施一本通。其中标注横线的部分，可以不需要配置。即使配置也没有关系，因为aaa分配地址的优先级要大于本地分配。

crypto isakmp ippool pool1

crypto isakmp client configuration group ruijie 

 pool pool1                                //关联地址池

 netmask 255.255.255.252         //地址池掩码

 

21、RSR路由器是否需要加密卡才能使用SM1进行加密

       各设备情况如下：

       RSR10-01G，RSR810，RSR820自动支持SM1

       RSR1002以及RSR2004/2014/2018/2024需要使用机密卡激活SM1加密功能。

       RSR1002E/2004E/2014E/2014F 10.4(3b13)以后版本，当插入了SIC-3G卡，则不需要SIC-SEC卡也可使用

       RSR30，RSR77需要插入对应的SEC模块

 

22、RSR30以及RSR77如何实现针对某些ip不做xauth认证

       通过命令：crypto isakmp key 0 ruijie address 1.1.1.1 no-xauth 命令来使某些ip地址不做xauth认证

 

23、在使用数字证书进行ipsec协商时，命令self-identity的作用

       该命令Ruijie(config)# self-identity address | fqdn |user-fqdn identity | dn  代表的是本端标识，各含义如下：

       Address：本地发起协商接口主 IP

       Fqdn：指定本地的身份为域名形式

       User-fqdn：指定本地的身份为用户@域名形式

       Dn：证书 DN 值

24、IPSEC协商的peer地址是否可以是对端的loopback地址，或者其他接口地址

       可以，需要使用该命令进行修改进行ipsec协商的地址：Ruijie(config)#crypto map local-address x.x.x.x缺省情况下IPSec数据从哪个接口出去，就以当前接口的地址为IPSec本地地址。