本文作者：田思杨 

iSlot官方网站网络技术服务部互联网服务中心

媒介

在上一篇《VPN技术浅谈之若何部署远程办公网络》中，作者为各人分享了端到站点VPN技术，该技术重要使用在远程办公人员和企业网络互通场景，而站点到站点VPN技术常用于总部与分支之间的网络互通，通过利用组织已有的互联网出口，使用VPN技术虚构出一条“专线”，将企业的分支机构和总部衔接起来，组成一个大的局域网。站点到站点VPN重要蕴含IPSec VPN、L2TP VPN、L2TP over IPSec VPN、GRE VPN、GRE over IPSec VPN、SSL VPN等。IPSec VPN技术因其拥有安全性高、成本低、部署矫捷、扩大性好蹬着点，已成为企业站点间VPN部署的第 一技术选择。

IPSec VPN不是一个单独的和谈，而是由一组和谈组成，因其蕴含的技术多、技术间关联关系多，好多伴侣无法把IPSec VPN技术理解透。本文首先通过梳理IPSec VPN中各技术的用处及之间的关联关系援手各人理解技术道理，其次为各人介绍IPSec VPN的一些高级职能，最后为各人分享典型实际场景和故障排查步骤。但愿本文可能援手各位读者把IPSec VPN技术学透、用领略，耐心读完这篇文章相信你会有不一样的收成。

iSlot官方网站支持IPSec VPN的设备有好多种，分歧设备对各IPSec VPN技术的支持情况略有差距，本文以iSlot官方网站网关设备为例给各人解说，如读者使用其他设备欢迎联系iSlot官方网站工程师或到iSlot官方网站官网查问，感激。

 

图1：常见企业VPN接入拓扑模型

IPSec VPN基础参数

IPSec中通讯双方成立的衔接叫做安全关联（IPSec SA），双方通过参数协商实现IPSec SA成立后，通过IPSec SA传输加密的数据报文进行通讯。所以两个对等体间要想通过IPSec VPN通讯，首先要成立IPSec SA。在进行IPSec SA成立时对等体间要进行IPSec SA参数协商，两端参数一样时才会成立成功。

 

图2：IPSec VPN基础参数

IPSec SA天生方式

手动指定天生IPSec SA

对等体通过手动指定IPSec SA协商参数天生IPSec SA，IPSec SA成立后没有生计周期限度，永不外时，除非手工删除，因而存在安全隐患。通常推荐在对等体数量较少且无法通过IKE协商成立IPSec SA场景下使用。

IKE协商天生IPSec SA

IKE用于动态成立并实时守护IPSec SA。IKE通过两个阶段来成立IPSec SA，第一阶段首先要协商成立IKE SA，第二阶段通过IKE SA协商成立IPSec SA。

IKE协商天生IPSec SA比手动指定天生IPSec SA存在以下优势：

50. 合用场景丰硕：手动指定方式必须对等体两端都有固定的公网IP地址，如一端对等体公网IP地址不固定必须使用IKE协商方式；
50. 降低配置复杂度：手动指定方式必要手动配置SPI、密钥等信息，在对等体较多的场景配置量较大而不便于守护，IKE协商方式会通过IKE SA来天生和守护这些信息，降低配置复杂度及守护成本；
50. 提高安全性：手动指定方式成立的IPSec SA密钥是静态的，成立后永不外时，IKE协商方式会通过IKE SA天生密钥，并且性命周期到期后进行老化沉新天生，提高了安全性。

幼提醒：IKE和谈目前有两个版本IKEv1与IKEv2，IKEv1目前较为常用，IKEv2与IKEv1配置思路一样，但协商过程与IKEv1有所区别，本文不进行解说，本文中出现的IKE和谈均代表IKEv1。

IKE SA协商模式

在IKE第一阶段有两种协商模式可协商成立IKE SA，主模式或者野蛮模式。主模式使用6个报文实现IKE SA成立，而野蛮模式使用3个报文实现IKE SA成立，与主模式相比野蛮模式削减交互报文数量从而加快了协商速度，但因对身份信息和认证信息选取明文交互，没有加密；，因而不安全，作者不推荐使用。

野蛮模式早期设计重要为解决一端对等体公网IP地址不固定或没有公网IP地址的场景下主模式无法协商成立的问题，目前该问题能够通过“动态隧路”的步骤更好地解决，所以推荐使用主模式。野蛮模式仅在iSlot官方网站设备与非iSlot官方网站设备成立IPSec使用主模式无法成立成功下使用，其他场景下不推荐使用。

幼提醒：主模式和野蛮模式报文交互具体流程参考本文《IKE报文交互知识点回首》幼节。

IKE SA加密方式

IKE SA使用对称加密算法对数据进行加密和解密，保障数据的安全性。常用的对称加密算法有DES、3DES、AES等，这三个加密算法的安全性由高到低顺次是：AES、3DES、DES，安全性高的加密算法实现机造复杂，运算速度慢。

图3：IKE SA常用的对称加密算法

IKE SA验证方式

IKE SA使用验证算法对报文齐全性及起源合法性进行验证，常用的验证方式有MD5-HMAC、SHA1-HMAC等，是HASH算法和HMAC两种技术的结合。

HASH算法实现对报文进行齐全性校验，常见的HASH算法有MD5、SHA1等，MD5算法的推算速度比SHA1算法快，而SHA1算法的安全强度比MD5算法高。

图4：IKE SA常用的HASH算法

 

HMAC(Hash-based Message Authentication Code)是一种基于HASH算法和密钥进行新闻认证的步骤，实现对报文起源的合法性进行验证，能够与任何HASH算法绑缚使用。

IKE SA密钥天生方式

DH（Diffie-Hellman）是一种非对称密钥算法，双方可通过仅互换一些数据，即可推算出双方的密钥，并且第三方捕获了其中的数据也无法推算得出密钥。DH产生的密钥用于数据报文加密及HMAC推算中。对等体两端DH组长度需指定为一样，常用的DH组长杜仔768bit（DH1）、1024bit（DH2）、1536bit（DH5）。

IKE SA认证方式

在IKE对等体之间在进行身份认证时支持通过预共享密钥认证和数字证书认证两种方式来确认对方身份的合法性。预共享密钥认证配置比力单一，是目前比力常用的认证方式。数字证书认证相对复杂但安全性较高，对安全性有较高要求的场景建议使用数字证书认证。

IKE SA身份标识

在IKE SA协商中对等体双方必要使用一样类型的身份标识，常用的身份标识类型有4种，IP地址、FQDN、USER-FQDN、证书DN。数字证书认证通常选取证书DN作为本地身份标识。预共享密钥认证默认选取IP地址作为本地身份标识，通常使用选取IP地址作为本地身份标识即可，若遇到以下两种场景推荐手动批改使用FQDN或USER-FQDN：

50. 若是对等体的IP地址为域名大局，则必须使用FQDN或USER-FQDN；
50. 对等体较多的场景下，建议选取FQDN或USER-FQDN，便于分辨每个对等体对应是哪个分支。

幼提醒：身份标识类型与协商模式无关，任何身份标识在主模式或野蛮模式下均可使用，好比主模式使用FQDN作为身份标识或野蛮模式使用IP作为身份标识都可正常实现IKE SA协商，只有对等体两端使用一样类型身份标识即可。

IKE SA性命周期

由于IPSec SA协商是成立在IKE SA基础上的，因而为节俭协商IPSec SA的功夫，通常IKE SA性命周期（60秒到86400秒，缺省86400秒）比IPSec SA性命周期设置的长。当在进行IKE SA协商时，两端对等体设置的IKE SA性命周期分歧不会造成IKE SA协商失败，而使用发送方设置的IKE SA性命周期。

IPSec SA安全和谈

AH和ESP是IPSec的两种安全和谈，用于实现IPSec在身份认证和数据加密的安全机造。

50. AH和谈（Authentication Header，和谈号51），重要提供数据齐全性确认、数据起源确认、防沉放等安全个性。AH通常使用MD5-HMAC、SHA-HMAC等验证算法实现数据齐全性；
50. ESP和谈（Encapsulating Security Payload，和谈号50），重要提供数据齐全性确认、数据加密、数据起源确认、防沉放等安全个性。ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5-HMAC、SHA-HMAC等验证算法实现数据齐全性。ESP和谈相比AH和谈多了支持数据加密、支持NAT穿越（NAT-T）这两大优势，是目前IPSec VPN较为常用的安全和谈。

IPSec SA封装模式

封装模式用于指定安全和谈的封装地位，有传输模式和隧路模式两种：

 

传输（Transport）模式下，AH头或ESP头插入IP头和传输层和谈之间，不扭转原始报文头，IPSec隧路的源和主张地址就是最终通讯双方的源和主张地址，所以只能；ち礁鯥PSec对等体之间相互通讯。通经常用在使用GRE over IPSec或L2TP over IPSec和谈的场景中，使用IPSec隧路；RE或L2TP对等体；

隧路（Tunnel）模式下，AH头或ESP头插在原始IP头之前，并且新天生一个IP头放在ESP头或AH头之前，所以能够；ち礁鯥PSec对等体背后两个网络之间进行通讯。通经常用在站点间网络互通的场景，是较常用的封装模式。

 

图5：AH和谈两种封装模式下报文封装

图6：ESP和谈两种封装模式下报文封装

IPSec SA加密方式

IPSec SA支持使用的加密方式与IKE SA一样，参考本文《IKE SA加密方式》幼节。

IPSec SA验证方式

IPSec SA支持使用的验证方式与IKE SA一样，参考本文《IKE SA验证方式》幼节。

IPSec SA性命周期

为了确保安全，IPSec SA将在经过一按功夫（0或者120秒到86400秒，缺省3600秒）或达到肯定通讯量（0或2560KB到536870912KB，缺省4608000KB）之后超时，沉新协商，并使用新的密钥。新IPSec SA在性命周期超时前30秒，或经由这条隧路的数据通讯量距性命周期还有256KB时起头进行协商（凭据哪个先产生）。

当在进行IPSec SA协商时，两端对等体设置的IPSec SA性命周期分歧不会造成IPSec SA协商失败，而使用提议方设置的IPSec SA性命周期。

IPSec VPN高级职能

 

图7：IPSec VPN高级职能

IPSec隧路自动成立（Set Autoup）

在默认情况下IPSec VPN配置完后，IPSec隧路是由数据流量触发后再协商成立的。配置IPSec隧路自动成立（Set Autoup）职能后，不论是否罕见据流量触发，只有实现IPSec VPN配置后，设备会自行触发IPSec隧路成立。

IPSec链路探测（DPD/Track）

DPD探测

在默认情况下两端设备成立IPSec隧路后，当一端设备出现问题后另一端是无感知的，另一端设备会持续通过IPSec隧路发送数据给故障设备导致数据通讯中断。此时必要期待IPSec隧路超时后故障IPSec隧路才会中断（IPSec隧路默认超不断间为一幼时）。

DPD探测是通过发送IKE报文确认对端设备IKE SA状态是否正常的一种探测机造，当探测到对端IKE状态异常时，会断根对应的IKE SA和IPSec SA。

DPD探测有两种工作模式：

50. 按需探测模式（On-demand），在超过配置的探测功夫且当罕见据报文发送时，设备会发送DPD新闻探测对端设备是否正常，当发送5次DPD信息都没有收到对端设备回包会以为对端IKE SA状态异常；
50. 周期探测模式（Periodic），设备会凭据配置的探测功夫周期性自动发送 DPD 新闻探测对端设备是否正常，当发送5次DPD信息都没有收到对端设备回包会以为对端IKE SA状态异常。

综上按需探测模式比周期探测模式会发送更少的DPD信息只在数据报文发送前检测，节约设备资源及网络带宽资源，但探测到对端设备故障的功夫会比周期探测模式长，读者凭据自身业务需要使用相宜模式进行DPD探测即可。

Track探测

DPD探测通过交互IKE报文能够探测到对端设备IKE SA状态是否正常，对于IKE SA状态正常而IPSec SA异常的情况DPD探测就力所不及了，这种情况同样会导致IPSec业务中断。Track探测通过定期发送ICMP或UDP报文探测IPSec现实业务是否正常，当Track探测到IPSec业务不通时会断根对应的IPSec SA进行沉新协商。通常建议同时配置DPD探测和Track探测。

NAT穿越（NAT-T）

设备默认开启NAT穿越（NAT-T）职能，用于解决当成立IPSec VPN的两台设备间存在NAT设备ESP报文无法通过的问题。ESP报头封装在IP层之上IP和谈号50所以无法通过NAT设备, NAT-T通过在ESP报文之上封装4500端口的UDP报头解决该问题。

 

图8：NAT-T在ESP报文之上封装4500端口的UDP报头

 

在IKE协商的第一阶段（主模式第1、2个报文、野蛮模式第1个报文）支持NAT-T的设备在发送IKE报文中会携带一个检测NAT-T能力的Vendor ID的载荷，当两端设备都携带这个字段就会进行NAT-T协商。当检测双方都支持NAT-T随后（主模式第3、4个报文、野蛮模式第2个报文）会携带一个NAT-D的载荷，NAT-D载荷中蕴含自己IP地址和端口的HASH值，对端设备收到这个值后会与收到的现实IP地址和端口的Hash值做对比，若是一样注明中央未经过NAT设备，不然注明中央经过NAT设备。若是NAT-T检测到中央经过NAT设备，设备会鄙人一个报文（主模式第5、6报文、野蛮模式第3个报文）起头插入一个4500端口的UDP报头，至此NAT-T工作实现。

 

动态隧路（Crypto Dynamic-map）

通常情况下，两端设备都有公网IP地址，配置时两端使用静态隧路的方式相互指定对端公网IP地址进行IPSec隧路成立。现实中也会遇到一端有公网IP地址而另一端没有固定公网IP地址或者没有公网IP地址的情况，这种情况两端都使用静态隧路的方式就无法成立IPSec隧路。使用动态隧路配置时无需指定对端IP地址、身份、感兴致流等，有公网IP地址的一端使用动态隧路可解决另一端没有固定公网IP地址或者没有公网IP地址的问题。此表，若是本端必要成立大量IPSec VPN的对等体也能够使动态隧路，削减配置量。

反向路由注入（RRI）

在实现IPSec配置后我们要配置去往对端网段的静态路由，若是感兴致流网段较多报答手动配置及守护这些路由有些不便？舴聪蚵酚勺⑷胫澳，当IPSec隧路成立实现后会自动产生相应的静态路由（主张地址是对端感兴致流地址，下一跳是对端公网IP地址）注入到路由表中，当IPSec隧路断开后对应的路由也会隐没。反向路由会结合IPSec隧路的成立信息自动天生对端网段路由，这样便能动态地实现路由的增长与删除，预防大量报答配置。此表，在设备存在多出口场景，还能够通过反向路由注入进行多出口上IPSec隧路的切换。

使用动态路由和谈（GRE over IPSec/L2TP over IPSec）

在IPSec网络中只能通过静态路由配置到对端网段的路由，IPSec对等体之间无法使用动态路由和谈进行路由进建，反向路由注入能够肯定水平上解决感兴致流网段较多、静态路由守护成本高的问题，若是但愿使用动态路由和谈进一步降低路由守护成本，能够使用GRE over IPSec VPN或者L2TP over IPSec VPN，使用GRE或者L2TP成立VPN隧路，而后再使用IPSec隧路；ふ飧鯲PN隧路，此时既保障了数据安全又可在VPN隧路两端使用动态路由和谈。

IPSec VPN典型场景

单总部单分支场景

场景Ⅰ

 

图9：IPSec VPN典型场景Ⅰ配置表

场景Ⅱ

 

图10：IPSec VPN典型场景Ⅱ配置表

 

场景Ⅲ

 

图11：IPSec VPN典型场景Ⅲ配置表

场景Ⅳ

 

图12：IPSec VPN典型场景Ⅳ配置表

 

场景Ⅴ

 

图13：IPSec VPN典型场景Ⅴ配置表

场景Ⅵ

 

图14：IPSec VPN典型场景Ⅵ配置表

多总部多分支场景

场景Ⅶ

 

图15：IPSec VPN典型场景Ⅶ配置图

场景Ⅷ

 

图16：IPSec VPN典型场景Ⅷ配置表

 

在多总部多分支场景下，除以上两种单出口情况表，多出口的情况也较为常见。部署时将以上两种多总部多分支场景与单总部单分支场景下多出口的情况结合使用即可，本章不在赘述。

IPSec VPN故障排查

IPSec VPN使用时未免会遇到隧路成立失败的情况。通常IPSec VPN故障可分为三类：IKE SA成立失败；IPSec SA成立失败；IPSec SA成立成功但数据不通。在遇到IPSec VPN故障时读者可查看提议方和接管方状态并对好比下IPSec对等体状态解析图确认属于哪类故障，而后凭据每类故障常见原因进行排查。

 

图17：查看IPSec对等体状态

18：IPSec对等体状态解析

IKE报文交互知识点回首

在分析每类故障常见产生原因前，作者首先带各人回首下IKE报文交互情况，只有知路了每个报文在交互什么内容，在遇到IPSec成立停顿在某一阶段时，我们才知路排查的方向。IKE通过两个阶段来成立IPSec SA，第一阶段选取主模式或者野蛮模式成立IKE SA，第二阶段选取急剧模式成立IPSec SA。

IKE第一阶段（主模式）：

50. 第1-2个报文携带IKE战术，进行IKE战术协商，IKE战术蕴含：加密算法、HASH算法、DH组、验证方式、IKE SA性命周期，
50. 第3-4个报文携带DH算法必要的资料，进行DH算法推算天生密钥，
50. 第5-6个报文携带身份信息及认证信息，进行对等体间的认证，实现IKE SA成立。必要把稳的是从第5个报文起头有两处变动，第一点是报文起头被加密；，第二点是若是存在NAT穿越的情况UDP端标语将从500变为4500

 

图19：主模式报文交互流程及对等体状态

 

IKE第一阶段（野蛮模式）：

50. 第1个报文发送方发送IKE战术、DH算法必要的资料、身份信息，IKE战术蕴含：加密算法、HASH算法、DH组、验证方式、IKE SA性命周期；
50. 第2个报文接管方回应匹配的IKE战术，发送DH算法必要的资料、身份信息、认证信息；
50. 第3个报文发送方发送认证信息实现认证，实现IKE SA成立。若是存在NAT穿越的情况从该报文起头UDP端标语从500变为4500。

 

图20：野蛮模式报文交互流程及对等体状态

 

IKE第二阶段：

50. 第1个报文发送方发送IPSec转换集、感兴致流，进行IPSec参数协商，IPSec转换集蕴含：封装模式、安全和谈、加密算法、HASH算法、IPSec SA性命周期。另表若是开启PFS还会携带DH算法必要的资料，进行DH算法推算天生新的密钥；
50. 第2个报文接管方回应匹配的IPSec战术、感兴致流及DH算法必要的资料(若是开启PFS)；
50. 第3个报文发送方进行了局确认，双方实现IPSec SA成立。

幼提醒：PFS（Perfect Forward Secrecy）是一种安全机造，默认情况下IPSec SA会直接使用IKE SA通过DH算法天生的密钥，开启PFS机造后，IPSec SA在协商时会在额表进行一次DH密钥互换算法，使IPSec SA使用的密钥与IKE SA使用的密钥分歧，提高安全性。

IKE SA成立失败故障原因分析

图21：IKE第一阶段IKE SA成立失败原因

 

IPSec SA成立失败故障原因分析

图22：IKE第二阶段IPSec SA成立失败原因

 

IPSec SA成立成功但数据不通故障原因分析

图23：IPSec SA成立成功但数据不通原因

 

写在最后

本文结合理论与实际对IPSec VPN技术的基础参数、高级职能、典型实际场景及故障排查步骤进行了深刻解析。除了IPSec VPN技术表L2TP over IPSec VPN、GRE over IPSec VPN等VPN技术也在一些企业站点间使用，读者可结合本文思路自前进行钻研。

有关推荐：

• VPN技术浅谈之若何部署远程办公网络
• 企业办公网接入认证技术详解
• 居安思危，自动改革 ——浅析园区办公网络的建设