一、IPSEC VPN原理简介
IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。
IPSec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:
l 1、数据的机密性—IPSec的发送方对发给对端的数据进行加密
l 2、数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改
l 3、数据来源的认证—IPSec接收方验证数据的起源
l 4、抗重播—IPSec的接收方可以检测到重播的IP包丢弃
使用IPSec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。
IPSec使用“封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;
使用ESP保障数据的机密性。密钥管理协议称为ISAKMP
,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。
二、相关术语解释:
l 鉴别头(AH):用于验证数据包的安全协议
l 封装安全有效载荷(ESP):用于加密和验证数据包的安全协议;可与AH配合工作可也以单独工作
l 加密算法:ESP所使用的加密算法
l 验证算法:AH或ESP用来验证对方的验证算法
l 密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是默认的密钥自动交换协议
三、IPSec VPN配置过程
RG-WALL IPSec VPN 提供了网关到网关和远程接入的安全服务功能,提供路由模式和桥模式下的IPSec
VPN传输,并支持隧道封装模式。身份认证支持证书认证、预共享密钥以及扩展认证。使用远程接入的用户可以模启用模式配置功能来自动获取IP。
配置IPSec VPN基本过程如下:
1、基本上网配置
两设备间要能成功建议vpn的前提是二者的网络连通性可达,且避免有防火墙将协商报文过滤,最简单的测试方法即互相能ping通。
2、配置IKE协商策略,主要配置对端地址,认证方式,协商参数(通常说的第一阶段协商)
a、配置远程网关:作为发起方需要配置对端的IP地址或者域名地址。
b、配置认证方式:可选预共享密钥或RSA签名。如果是RSA签名需要预先导入证书。预共享密钥方式和密钥需要的配置需和对端一致。
3、配置IPSEC协商策略 (通常说的第二阶段协商)
a、配置IPSEC协商的通道名称,名称自定义
b、配置IPSEC协商的交互方案。可以选择ESP封装算法(如果不使用选择NULL),或AH的封装算法(如果不使用选择NULL),也可以二者一起使用。
但两端配置一定要保持一 致。另外Nat穿越的情况下,不要使用AH封装,AH选项不勾选。
c、配置工作模式。网络到网络的IPSec传输使用隧道模式。
4、配置ipse安全策略
只需要配置本端内网网段访问对端内网网段走IPSec
VPN通道,因为IPsec策略会去把对方数据包的源地址与自己IPSec策略的目的地址去匹配,只要匹配上就可以放行。
a、配置本地子网和对方子网
本地子网表示本VPN内网接入的保护网段,对方子网表示对端VPN内网接入的保护网段。
四、VPN建立不成功简单排错
1、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
2、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
3、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。