根据它们的大小和配置,IPsec vpn可以相对容易地设计和部署,即使您并不完全了解IPsec的实际工作方式。但是,如果您不了解IPsec是如何工作的,并且没有应用良好的故障排除方法,那么当您的IPsec VPN发生故障或一开始就不能工作时,您可能不得不求助于我所说的“暗箱操作”(SITD)故障排除。
SITD故障排除是随机的、耗时的,而且往往根本不能解决您的问题——它甚至可能使问题恶化。因此,为了帮助您节省一些时间和挫折,我想我应该写一个简短的系列博客文章,帮助您以一种循序渐进、易于理解的方式快速修复损坏的IPsec vpn。
在真正开始描述IPsec故障排除过程之前,(如前所述)了解IPsec vpn的工作方式非常重要。在这篇博文中,我快速回顾了一些主要的组件,然后在下次讨论实际的故障排除方法。我将从站点到站点的IPsec vpn开始,然后在稍后的博客文章中讨论远程访问IPsec vpn。
在点到点VPN中,IPsec隧道在组织的站点之间建立,所有流量在经过中间网络时都经过验证和/或加密。
IPsec由以下几个要素组成:
- 密码算法:包括MD5-HMAC-96、SHA-HMAC-96、DES和AES。
- 安全协议:IPsec使用AH (Authentication Header)和ESP (Encapsulating Security Payload)两种安全协议。
AH是一个包头,它提供无连接完整性、数据源验证和可选的重放保护。ESP是一种报文头,提供无连接完整性、数据源认证、可选重放保护、数据保密性和有限流量流保密性(仅在隧道模式下可用)。
- 安全联盟(SA): IPsec SA本质上是单向的,定义了IPsec如何保护特定流量。IPsec SA由安全参数索引SPI (Security Parameter Index)标识,包括安全协议、安全协议模式、加密算法、SA生存时间等信息。
- IPsec数据库:IPsec定义了三个数据库,以确保正确处理IP流量(与IPsec相关)。这些是安全策略数据库(SPD)、安全关联数据库(SAD或SADB)和对等体授权数据库(PAD)。
SPD指定需要IPsec保护的流量和需要绕过IPsec的流量。所有流入和流出的流量都需要咨询SPD。
为了保证对IPsec报文的正确处理,在SAD或SADB表项中包含了每个IPsec SA的相关信息以及与SPD相关的接口信息。
PAD提供IKE (Internet Key Exchange)协议与防雷器之间的链路。PAD指定IPsec设备被授权与对等体协商IPsec sa的身份范围(例如IP地址);它还指定如何对对等体进行身份验证
- 安全联盟和密钥管理技术:IPsec支持两种方式对IPsec SA和密钥进行管理:手工安全联盟和密钥管理和通过IKE协议对安全联盟和密钥进行自动化管理。
管理IPsec sa和密钥的一种方法是在IPsec对等体上手动配置sa和密钥材料。手工配置IPsec sa和密钥材料与配置静态路由类似(虽然要复杂得多),并且与配置静态路由一样,手工配置IPsec sa和密钥材料是不可伸缩的
IKE协议允许IPsec对等体动态地相互验证、生成密钥材料和协商IPsec sa。
IKE有两个版本:IKEv1 (IKE Version 1)和IKEv2 (IKE Version 2)。IKEv1由许多协议组成,包括SKEME、Oakley密钥确定协议和Internet安全协会和密钥管理协议(ISAKMP)。
IKEv1的协商分为两个阶段和三种模式。阶段1,IPsec对等体建立IKE SA。此IKE SA用于保护阶段2的协商,阶段2的协商将用于协商IPsec SA。
IKEv1阶段1可以采用主模式(典型的点到点vpn)和野蛮模式进行协商。IKEv1阶段2采用快速方式进行协商。需要注意的是,阶段1协商的IKE SA是双向的,阶段2协商的IPsec SA是单向的。
IKE第一阶段主模式协商时,两个IPsec对等体交换三对消息,共6对消息。这些消息的功能如下:
- 第一对消息(消息1和消息2)—用于协商IKE策略参数,如哈希算法、加密算法、认证方法等。属性指定这些参数加密isakmp政策优先级命令。
- 第二对消息(消息3和消息4)——它们用于交换Diffie-Hellman公共值和nonces(随机数)。
Diffie-Hellman交换允许IPsec对等体同意共享密钥。nonce值作为IPsec对等体计算会话密钥时的密钥材料。
IPsec对等体现在生成四个会话密钥中的第一个,称为SKEYID。然后使用SKEYID计算另外三个会话密钥(SKEYID_d、SKEYID_a和SKEYID_e)。IKE阶段2密钥来源于SKEYID_d。IPsec对等体使用SKEYID_a和SKEYID_e对彼此发送的剩余IKE阶段1和阶段2消息进行认证和加密。
- 第三对消息(消息5和消息6)——这些消息用于交换身份和相互验证IPsec对等体。
阶段1已经完成,IPsec对等体之间已经建立IKE SA。
IKE阶段1(主模式)协商过程如下图所示:
IKE阶段1协商完成后,可以开始阶段2。IKE阶段2协商的目的是建立IPsec sa。然后使用这些IPsec sa来保护在IPsec对等体之间传输中间网络的用户流量。
IKE阶段2协商由三条消息组成:
- 消息1-由发起方发送,包含加密算法、哈希算法、IPsec SA生存时间等安全提议。IPsec安全提议(转换)使用加密ipsec transform-set命令。
- 消息2-此消息用于接受消息1中发送的一个IPsec提议。
- 消息3-此消息作为消息2的确认。
一旦阶段2完成,您的IPsec VPN应该能够在站点之间传输流量。这是在一切按计划进行的前提下!
下图为IKE阶段2 (Quick Mode)协商过程:
下次,我将介绍一种快速有效地排除IPsec vpn故障的方法。
马克。