专业提供企业网络专线 、MPLS VPN、SD-WAN、IPLC、IPLC、海外IDC、云专线等技术方案。
咨询热线:400-028-9798

IPLC

IPSec在实施中经验分享

发布时间:2021-07-13 10:13:21来源:网络之路博客作者:网络之路作者一天阅读:

[导读]: 1、IKE安全提议策略 在实际中IKE的安全提议,双方都要求一致的,那么在华为防火墙里面怎么部署比较好呢 IKEporposal 其实是有默认的策略的,并且可以发现比如认证算法、加密算法包含...
1、IKE安全提议策略

IPSec在实施中经验分享

在实际中IKE的安全提议,双方都要求一致的,那么在华为防火墙里面怎么部署比较好呢

IKEporposal 其实是有默认的策略的,并且可以发现比如认证算法、加密算法包含了多个参数,这样的好处就是

一个porposal就可以包含更多匹配的可能性,减少配置量。

ike proposal default

 encryption-algorithm aes-256 aes-192 aes-1283des des

 dh group14 group5 group2 group1 group20group18 group16 group15

 authentication-algorithm sha2-512 sha2-384sha2-256 sha1 md5

 authentication-method pre-share

IPSec在实施中经验分享

这样的一个策略就可以全部匹配了,实际中比较推荐这样做。

IPSec在实施中经验分享

USG2000跟5000的默认安全策略

IPSec在实施中经验分享

支持的算法也不算强

IPSec在实施中经验分享

华为AR路由器早期版本支持的

IPSec在实施中经验分享

IPSec在实施中经验分享

思科早期版本跟新版本也都不一样,包括华三的,说了这么多,总结下来就是如果在华为下一代防火墙充当一个重要的HUB点(中心),那么可以把一个安全提议支持很多算法,这样呢,在不管对端是什么设备、版本不一致的情况下,安全策略都能够去尽可能的匹配上,减少实施时候的配置量,还一个好处就是后期维护会更加方便,否则策略一多,要去查看配置会更加费劲,当然也有那种要求严格的甲方需求,一个peer只用一个安全提议,那么这个时候就建议用名字命名,能够让自己看起来更容易区分的。

总结下来:IKE的安全提议在支持一个提议容纳多种算法的则直接容纳多个(目前华为下一代防火墙可以,包括思科的路由器默认内置了很多常用的,其他厂商都是多多少少都需要修改的)

2、IKE peer

在peer里面注意的地方比较多

默认情况下,华为下一代防火墙是V1V2版本都启用的,如果现网中使用的V1,而配置里面V1、2都开的话,防火墙发起是以V2发起的,所以通常会输入undo version 2(响应可以支持V1/2)

协商模式,下一代防火墙支持自动模式exchange-mode     auto,它主动发起的时候使用主模式,被动接受的时候则主模式跟野蛮模式都支持,比较适合于在用模板方式的时候,用auto是最好的。

SA超时时间:这个是策略里面唯一不需要匹配的,会以双方最小的值为标准进行统一,在实际中建议一样。

默认情况下本端的ID是以IP来进行验证的,有时候特别在野蛮模式下,可能需要用到别名等方式,可以进行修改。local-id-type     fqdn  |      local-id     USG

NAT穿越,在下一代防火墙中NAT穿越默认是开启的,但是在其他设备里面建议查看ike peer的属性是否开启,否则造成穿越NAT失败的情况。(可以不管它开没开启,手动执行一次)

预共享密钥:这个两边一直即可,注意输入后会进行加密,所以最好做一份记录,以后用的少。

3、IPSec安全提议

对于IPSec的安全提议是没有内置的,但是呢,创建后其实是有内置的参数的。

创建一个ipsec proposal 1

IPSec在实施中经验分享

会发现默认是有内置参数的,每个版本不一样可能内置的参数是不一样,所以跟IKE 安全提议一样,尽可能的一个策略去迎合。

ipsec proposal 1

 esp authentication-algorithm sha2-512 sha2-384sha2-256 sha1 md5

 esp encryption-algorithm aes-256 aes-192aes-128 3des des

4、ACL(受保护流量)

ACL没什么特别注意的,在实际中尽量使用精确、明细的匹配方式来做,这样在后期新加跟维护的时候会更加方便,并双方是互为镜像的方式。如果总部与分支的网段比较多,又是基于ACL的方式匹配的话,可以配置地址组,然后在ACL里面可以直接匹配地址组来简化ACL的条目。

5、IPSec策略(模板)

IPSec策略中之前都是按标准讲解的,有些细节的地方没有说明,这里提及下。

由于一个设备下面可以起很多IPSec策略,那么这个时候策略一多,在查看的时候就会非常不方便,推荐使用alias别名的功能,可以为这个策略起一个名字,支持中文,非常方便。

tunnel local:这个通常情况下用不到,如果说一个外网有多个IP的情况下,这个时候如果建立想单独使用一个空闲的地址作为协商,那么就需要通过该命令指定了。

触发方式:之前的讲解中都是以流量触发讲解的,就是当实际业务流量访问,IPSec才能够建立,但是华为是支持自动建立方式的,不用业务触发,也能自动建立。sa     trigger-mode  auto(默认为流量触发)

respond-only     enable:该功能是禁止本端主动发起IPSec建立,平时用不上,在排错的时候有一定帮助,可以定位故障。

在实际部署中一个接口只能调用一个IPSec策略,可能会存在策略方式以及模板方式共存,那么这个时候,模板方式的ID建议在最后,比如ID 1000,策略方式的ID在前面,这样在实施的时候减少故障率。

6、接口调用

接口调用的话注意一个策略只能调用一个IPSec安全策略,并且如果要删除某一个IPSecpolicy 的某个ID并且有对应的IKE SA与IPSEC SA信息的时候,需要先去掉接口调用才能删除,否则会提示删除不了。

如果IPSec建立过程中,一端出现故障或者设备重启后发现隧道建立不起来了怎么办?      

IPSec在实施中经验分享

正常情况下192.168.10.1访问20.2通过IPSec访问没任何问题,但是这个时候突然CS_FW那边跳闸了,导致设备重启,这个时候就会出现一个问题。

IPSec在实施中经验分享

IPSec在实施中经验分享

IPSec在实施中经验分享

造成BJ这边有IKE与IPSec sa信息,而CS那边由于重启了没有了这些信息,那么这个时候数据访问就会出现问题。

IPSec在实施中经验分享

因为在BJ_FW这边它是有IKE与IPSec Sa的,能够直接用SA信息进行加密数据出去,但是到了CS那边,由于重启的原因,SA信息丢失,无法直接加解密,则直接丢弃了。

解决这个问题,实际有三种办法

keepalive与heartbeat:这两种方式用的少,原因是(1)周期性的发送会消耗CPU (2)每个厂家的标准不一样,存在兼容性问题,无法对接,在实际中用的很少。

DPD:非常灵活,支持周期性发送与按需性发送,而且兼容性好,所以在实际中建议采用DPD的方式。

按需型:本端需要向对端发送IPSec数据业务时,如果当前距离最后一次收到对端的IPSec报文的时长已超过DPD空闲时间,则触发DPD检测,本端主动向对端发送DPD请求报文。

周期型:如果当前距离最后一次收到对端的IPSec报文或DPD请求报文的时长已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。

主动向对端发送DPD请求报文后,若在DPD报文重传间隔内没有收到对端的DPD回应报文,则向对端重传DPD请求报文,根据重传次数进行重传之后,若仍然没有收到对端的DPD回应报文,则认为对端离线,删除该IKE      SA和对应的IPSec SA。

DPD的配置

基于IKE 进程单独配置,这样只用于单个进程

ikepeer  cs

dpd type on-demand

全局配置,会应用于全部IKE peer

ike dpd type on-demand

(这里注意DPD配置后,建议清空SA信息,然后重新建立隧道,在模拟一次故障,否则会出现不生效的情况。)

IPSec在实施中经验分享

IPSec在实施中经验分享

IPSec在实施中经验分享

这个时候在去访问业务端,由于这里我们采用的是按需的方式,那么DPD会触发检测,会发送请求报文,请求报文会发送3次,如果对方依旧没有相应,则会清空IKE与IPSec SA信息。

IPSec在实施中经验分享

这个时候在去访问就正常了,因为两边会重新开始建立。

DPD使用建议

建议基于ike peer进程来创建,因为在实际中可能每个peer之间的链路环境不一样,可以根据不同环境选择按需还是周期(如果是hub环境,hub这边建议选择周期。)

建议两边都开启,因为在实际中任何一边都有可能发生故障。

配合自动建立效果更佳。

如果一边有动态公网地址,一边没有,能否建立IPSec呢?

如果一边有动态公网地址,是可以建立的,需要在动态地址那边关联动态域名(比如3322或者花生壳等),然后做模板方式,最关键的就是没有公网地址端的配置。

ike peer  1

remote-addresshost-name  ccieh3c.com  (可以直接指定实际申请的DDNS域名)

注意的是设备本身要开启DNS解析,否则解析不到当前域名所在的IP地址导致访问失败。(一般DHCP或者拨号的都会自动下发DNS的,可以通过display  dns server查看,也可以手动dns server设置DNS服务器地址。)

IPSec模板实际中部署(提高对接率,减少故障)

IPSec在实施中经验分享

在下一代防火墙中,有这样的一个功能,配合模板方式特别好使,这个是35篇的内容,CD_FW与CS_FW都是动态或者是私网地址,BJ_FW是以模板的时候配置的,在实际环境中,分支这边可能由于设备型号不一致、版本、厂商等情况导致支持的安全参数不一样,那么这个时候统一就有点困难,BJ_FW这边需要建立多个安全提议去匹配,有这样一个功能“协议兼容”。

ikepeer BJ

ikenegotiate compatible

该功能启用后,对方发送过来的IKE安全提议以及IPSec的安全提议,如果本地没有相对于的匹配,直接以对方发送过来的参数进行响应,这种方式在实际中部署可以大大提高连接的成功率,但是有一定的风险,可能对方是低安全策略,造成风险的可能。(适合分支设备厂商比较杂的情况,建议可以做做实验,把CS_FW与CD_FW的IKE与IPSec的加密算法与安全算法全部改掉,跟BJ_FW不匹配,然后测试下是否能够建立起来隧道。)

实战案例题(1):如果防火墙上面部署了策略路由、NAT server,对IPsec有什么影响吗?

实战案例题(2):如果外网有多条线路,这个时候IPSec怎么部署好?

实战案例题(3):如果防火墙单独作为一个IPSec server,应该如何融入到网络

视频补充(4):WEB端配置讲解

IPSec实际注意的地方

IPSec在实际中除了对接上面注意的地方,除了上面说安全提议策略以外,在实际中还需要考到线路问题。

尽量双方在部署的时候选择同一个运营商的,比如固定专线那边是电信、那边其他点用电信是最好的

不同运营商之间建立IPSec隧道,延迟跟稳定性不如同一个运营商,这个在部署  的时候告知客户

如果分支之间需要互访,但分支又没有动态公网地址,那只能通过总部之间中转。

如果分支采用的猫拨号(猫是路由模式),有可能会导致IPSec隧道建立不起来的情况,建议改成桥接模式

总部与分支,以及其他分支之间的网段是不能重叠的,就是不能有相同的,否则建立不起来的情况。

以上就是IPSec在实施中经验分享的介绍,Vecloud为国内外用户供给包括全球主机托管、主机租用、云专线接入等方面的专业服务,资源覆盖全球。欢迎咨询。

免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递 更多信息之目的,并不意味着赞同其观点或证实其内容的真实性,如本站文章和转稿涉及版权等问题,请作者在及时联系我们本站,我们会尽快处理。

标题:IPSec在实施中经验分享

TAG标签: IPSEC VPN

地址:http://www.vecloud.com.cn/haiwaizhuanxian/307.html

常见问题