97国际

97国际睿易 97国际官方商城

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

Global / English
France / Fran?ais
Germany / Deutsch
Indonesia / Indonesian
Italy / Italiano
Japan / 日本語
Kazakhstan / Pусский
Poland / Polski

Portugal / Português
Spain / Espa?ol (Espa?a)
Thailand / ???????
Vietnam / Vi?t Nam
LATAM / Espa?ol
(América Latina)
Türkiye / Türk?e
Brazil / Português(Brazil)

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

交流机

交流机所有产品

< 返回产品

交流机主页

交流机

园区网交流机

园区网交流机所有产品

数据中心与云盘算交流机

数据中心与云盘算交流机所有产品

行业精选交流系列

行业精选交流系列所有产品

工业交流机

工业交流机所有产品

SDN

SDN所有产品

配件

配件所有产品

所有手艺解决计划

全万兆园区网络
全万兆园区网络

路由器

路由器所有产品

< 返回产品

路由器主页

路由器

焦点路由器

焦点路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有手艺解决计划

园区网计划
极简出口解决计划

无线

无线所有产品

< 返回产品

无线主页

无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

无线管理与应用
RG-WIS云管理平台

所有手艺解决计划

云桌面

云桌面产品计划中心

< 返回产品

云桌面主页

云桌面

云终端系列

云终端系列所有产品

审查云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

服务产品

服务产品所有产品

所有手艺解决计划

清静

清静所有产品

< 返回产品

清静主页

清静

大数据清静平台

大数据清静平台所有产品

下一代防火墙

下一代防火墙所有产品

清静网关

清静网关所有产品

检测管理清静

检测管理清静所有产品

清静服务

清静服务所有产品

清静云

清静云所有产品

所有手艺解决计划

清静
97国际网络出口网安融合解决计划
企业办公综合出口解决计划
商贸连锁综合网关解决计划
高职教多营业出口解决计划

软件

软件所有产品

< 返回产品

软件主页

软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有手艺解决计划

教育
极简校园网综合运维管理

身份管理

身份管理所有产品

< 返回产品

身份管理主页

身份管理

清静管理系列

清静管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

所有手艺解决计划

服务产品

服务产品所有产品

< 返回产品

服务产品主页

服务产品

基础实验服务

基础实验服务所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

清静服务

清静服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

97国际睿易

体验中心

97国际AI应用

网络钻研会

行业

< 返回主菜单

行业

运营商

< 返回行业

运营商首页 >

运营商

政府

< 返回行业

政府首页 >

政府

金融

< 返回行业

金融首页 >

金融

好体验智营销强管理
金融无线互联网解决计划

互联网

< 返回行业

互联网首页 >

互联网

制造业

< 返回行业

制造业首页 >

制造业

高教/职教

< 返回行业

高教/职教首页 >

高教/职教

普教

< 返回行业

普教首页 >

普教

教育新基建
教育极简城域网解决计划
教育局云桌面

医疗卫生

< 返回行业

医疗卫生首页 >

医疗卫生

交通

< 返回行业

交通首页 >

交通

97国际睿易

体验中心

网络钻研会

解决计划

< 返回主菜单

行业

手艺及场景解决计划

交流机所有产品

< 返回解决计划

交流机

EDN体验驱动网络

热门计划

97国际·(中国区)集团官方网站

EDN体验驱动网络解决计划

面向金融、教育、企业等行业园区网以及分支网场景，从客户体验角度出发，打造弹性组网体验、优质用网体验、便捷清静体验、轻松运维体验，助力打造智慧园区，加速企业数字化转型。

算力互联

热门计划

97国际·(中国区)集团官方网站

AI Fabric智算中心网络解决计划

面向大规模智算场景，接纳高带宽、低时延的RoCE无损网络设计，为各行业用户提供无邪组网、智能调优、智能运维的算力中心建设计划。

智能园区与无线网络

热门计划

97国际·(中国区)集团官方网站

医疗新一代全院零周游解决计划

面向病房、门诊、科室等医疗场景，搭建高速、稳固、清静、简运维，适配未来医疗营业演进的无线网络，提升医疗服务效率和质量，助力智慧医院高效建设。

全光网

热门计划

97国际全场景全光园区网解决计划

97国际全场景全光园区网解决计划

融合以太彩光、光电混淆实时分复用手艺，突破古板网络带宽、距离、供电与运维瓶颈，为教育、医疗、企业办公、智能制造等场景提供万兆到桌面、营业零中止、分钟级运维的新一代全光网络基座。

网安融合

热门计划

97国际·(中国区)集团官方网站

97国际网络出口网安融合解决计划

面向高教、普教、政府、企业、医疗等用户的网络出口等场景, 通过网安融合，提供横向全域危害检测能力，并可通过外地情报库降低清静危害外溢，同时提供自动溯源和清静告警能力，资助运维职员提升一样平常清静运维管理效率。

云桌面

热门计划

97国际·(中国区)集团官方网站

清静云办公3.0解决计划

通过可靠的虚拟化平台、富厚的功效特征，为用户提供高清静、高体验、高效率的桌面办公计划。

行业解决计划

交流机所有产品

< 返回解决计划

交流机

运营商

运营商所有解决计划

运营商所有解决计划 >

政府

政府所有解决计划 >

金融

好体验智营销强管理
金融无线互联网解决计划

金融所有解决计划 >

互联网

互联网所有解决计划 >

制造业

制造业所有解决计划 >

高教/职教

高教/职教所有解决计划 >

普教

教育新基建
极智V5教育城域网
教育局云桌面

普教所有解决计划 >

医疗卫生

医疗卫生所有解决计划 >

交通

交通所有解决计划 >

97国际睿易

体验中心

网络钻研会

服务支持

< 返回主菜单

服务与支持中心

服务与支持

服务工具

小锐云服
小锐云桥
客服中心AI闪电侠
智能云管平台MACC
无线智能服务WIS
97国际清静云平台
审查所有

服务平台

云桌面服务平台
睿易服务平台
合作伙伴服务平台

手艺支持

服务产品

产品服务

教学服务

97国际ICT人才教育中心
校企合作
认证系统
培训妄想

合作伙伴

< 返回主菜单

合作伙伴中心

合作伙伴

成为97国际伙伴

合作伙伴政策
行为准则
清廉及合规举报
我要签约
SMB事业部分销专区

售前营销

市场资料库(合作伙伴)
97国际产品设置器
营销资料平台
售前认证
售前工具包
合作伙伴礼物库
e-Learning
产品资质盘问
远程POC

销售与订单

项目报备管理系统
订单管理
产品停服信息
产品停售信息
商务手册
行业渠道产品电商平台
历史订单盘问
授权函盘问

售后及服务

售后认证
售后工具包
RSDP 97国际服务交付平台
售后服务认证
售后知识平台
渠道服务管理系统（CSM）
SMB渠道客户服务平台（CCSP）

用户中心

系统指导大全
账号管理
下载电子授权牌
签约信息审查
资质盘问
签章管理
返利管理
睿易手艺认证盘问

关于97国际

< 返回主菜单

关于97国际首页

关于97国际

公司先容

公司动态

加入我们

社会招聘
校园招聘

联系97国际

营销资料平台

投资者关系

小我私家中心

97国际商城

返回主菜单

选择区域/语言

Global / English

Japan / 日本語

Türkiye / Türk?e

Vietnam / Vi?t Nam

Indonesia / Indonesian

Thailand / ???????

Spain / Espa?ol (Espa?a)

Portugal / Português

France / Fran?ais

Poland / Polski

Kazakhstan / Pусский

Germany / Deutsch

Italy / Italiano

Brazil / Português(Brazil)

LATAM / Espa?ol (América Latina))

97国际·(中国区)集团官方网站

首页
手艺博文
互联网
站点间IPSec VPN网络手艺深度剖析

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

站点间IPSec VPN网络手艺深度剖析

【IPSec VPN】本文首先通过梳理IPSec VPN中各手艺的用途及之间的关联关系资助各人明确手艺原理，其次为各人先容IPSec VPN的一些高级功效，最后为各人分享典范实践场景和故障排查要领。

宣布时间：2020-07-01
点击量：
点赞：

分享至

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

我想谈论

本文作者：田思杨

97国际网络手艺服务部互联网服务中心

前言

在上一篇《VPN手艺浅谈之怎样安排远程办公网络》中，作者为各人分享了端到站点VPN手艺，该手艺主要使用在远程办公职员和企业网络互通场景，而站点到站点VPN手艺常用于总部与分支之间的网络互通，通过使用组织已有的互联网出口，使用VPN手艺虚拟出一条“专线”，将企业的分支机构和总部毗连起来，组成一个大的局域网。站点到站点VPN主要包括IPSec VPN、L2TP VPN、L2TP over IPSec VPN、GRE VPN、GRE over IPSec VPN、SSL VPN等。IPSec VPN手艺因其具有清静性高、本钱低、安排无邪、扩展性好等优点，已成为企业站点间VPN安排的第一手艺选择。

IPSec VPN不是一个单独的协议，而是由一组协议组成，因其包括的手艺多、手艺间关联关系多，许多朋侪无法把IPSec VPN手艺明确透。本文首先通过梳理IPSec VPN中各手艺的用途及之间的关联关系资助各人明确手艺原理，其次为各人先容IPSec VPN的一些高级功效，最后为各人分享典范实践场景和故障排查要领。希望本文能够资助列位读者把IPSec VPN手艺学透、用明确，耐心读完这篇文章相信你会有纷歧样的收获。

97国际支持IPSec VPN的装备有许多种，差别装备对各IPSec VPN手艺的支持情形略有差别，本文以97国际网关装备为例给各人解说，如读者使用其他装备欢迎联系97国际工程师或到97国际官网盘问，谢谢。

97国际·(中国区)集团官方网站

图1：常见企业VPN接入拓扑模子

IPSec VPN基础参数

IPSec中通讯双方建设的毗连叫做清静关联（IPSec SA），双方通过参数协商完成IPSec SA建设后，通过IPSec SA传输加密的数据报文举行通讯。以是两个对等体间要想通过IPSec VPN通讯，首先要建设IPSec SA。在举行IPSec SA建设时对等体间要举行IPSec SA参数协商，两头参数相同时才会建设乐成。

97国际·(中国区)集团官方网站

图2：IPSec VPN基础参数

IPSec SA天生方法

手动指定天生IPSec SA

对等体通过手动指定IPSec SA协商参数天生IPSec SA，IPSec SA建设后没有生涯周限期制，永不过期，除非手工删除，因此保存清静隐患。一样平常推荐在对等体数目较少且无法通过IKE协商建设IPSec SA场景下使用。

IKE协商天生IPSec SA

IKE用于动态建设并实时维护IPSec SA。IKE通过两个阶段来建设IPSec SA，第一阶段首先要协商建设IKE SA，第二阶段通过IKE SA协商建设IPSec SA。

IKE协商天生IPSec SA比手动指定天生IPSec SA保存以下优势：

适用场景富厚：手动指定方法必需对等体两头都有牢靠的公网IP地址，如一端对等体公网IP地址不牢靠必需使用IKE协商方法；
降低设置重漂后：手动指定方法需要手动设置SPI、密钥等信息，在对等体较多的场景设置量较大而未便于维护，IKE协商方法会通过IKE SA来天生和维护这些信息，降低设置重漂后及维护本钱；
提高清静性：手动指定方法建设的IPSec SA密钥是静态的，建设后永不过期，IKE协商方法会通过IKE SA天生密钥，并且生命周期到期后举行老化重新天生，提高了清静性。

小提醒：IKE协议现在有两个版本IKEv1与IKEv2，IKEv1现在较为常用，IKEv2与IKEv1设置思绪相同，但协商历程与IKEv1有所区别，本文不举行解说，本文中泛起的IKE协议均代表IKEv1。

IKE SA协商模式

在IKE第一阶段有两种协商模式可协商建设IKE SA，主模式或者野蛮模式。主模式使用6个报文完成IKE SA建设，而野蛮模式使用3个报文完成IKE SA建设，与主模式相比野蛮模式镌汰交互报文数目从而加速了协商速率，但因对身份信息和认证信息接纳明文交互，没有加密�；�，因此不清静，作者不推荐使用。

野蛮模式早期设计主要为解决一端对等体公网IP地址不牢靠或没有公网IP地址的场景下主模式无法协商建设的问题，现在该问题可以通过“动态隧道”的要领更好地解决，以是推荐使用主模式。野蛮模式仅在97国际装备与非97国际装备建设IPSec使用主模式无法建设乐成下使用，其他场景下不推荐使用。

小提醒：主模式和野蛮模式报文交互详细流程参考本文《IKE报文交互知识点回首》小节。

IKE SA加密方法

IKE SA使用对称加密算法对数据举行加密息争密，包管数据的清静性。常用的对称加密算法有DES、3DES、AES等，这三个加密算法的清静性由高到低依次是：AES、3DES、DES，清静性高的加密算法实现机制重大，运算速率慢。

97国际·(中国区)集团官方网站

图3：IKE SA常用的对称加密算法

IKE SA验证方法

IKE SA使用验证算法对报文完整性及泉源正当性举行验证，常用的验证方法有MD5-HMAC、SHA1-HMAC等，是HASH算法和HMAC两种手艺的团结。

HASH算法实现对报文举行完整性校验，常见的HASH算法有MD5、SHA1等，MD5算法的盘算速率比SHA1算法快，而SHA1算法的清静强度比MD5算法高。

97国际·(中国区)集团官方网站
图4：IKE SA常用的HASH算法

HMAC(Hash-based Message Authentication Code)是一种基于HASH算法和密钥举行新闻认证的要领，实现对报文泉源的正当性举行验证，可以与任何HASH算法捆绑使用。

IKE SA密钥天生方法

DH（Diffie-Hellman）是一种非对称密钥算法，双方可通过仅交流一些数据，即可盘算出双方的密钥，并且第三方捕获了其中的数据也无法盘算得出密钥。DH爆发的密钥用于数据报文加密及HMAC盘算中。对等体两头DH组长度需指定为相同，常用的DH组长度有768bit（DH1）、1024bit（DH2）、1536bit（DH5）。

IKE SA认证方法

在IKE对等体之间在举行身份认证时支持通过预共享密钥认证和数字证书认证两种方法来确认对方身份的正当性。预共享密钥认证设置较量简朴，是现在较量常用的认证方法。数字证书认证相对重大但清静性较高，对清静性有较高要求的场景建议使用数字证书认证。

IKE SA身份标识

在IKE SA协商中对等体双方需要使用相同类型的身份标识，常用的身份标识类型有4种，IP地址、FQDN、USER-FQDN、证书DN。数字证书认证通常接纳证书DN作为外地身份标识。预共享密钥认证默认接纳IP地址作为外地身份标识，通常使用接纳IP地址作为外地身份标识即可，若遇到以下两种场景推荐手动修改使用FQDN或USER-FQDN：

若是对等体的IP地址为域名形式，则必需使用FQDN或USER-FQDN；
对等体较多的场景下，建议接纳FQDN或USER-FQDN，便于区分每个对等体对应是哪个分支。

小提醒：身份标识类型与协商模式无关，任何身份标识在主模式或野蛮模式下均可使用，好比主模式使用FQDN作为身份标识或野蛮模式使用IP作为身份标识都可正常完成IKE SA协商，只要对等体两头使用相同类型身份标识即可。

IKE SA生命周期

由于IPSec SA协商是建设在IKE SA基础上的，因此为节约协商IPSec SA的时间，一样平常IKE SA生命周期（60秒到86400秒，缺省86400秒）比IPSec SA生命周期设置的长。当在举行IKE SA协商时，两头对等体设置的IKE SA生命周期差别不会造成IKE SA协商失败，而使用发送方设置的IKE SA生命周期。

IPSec SA清静协议

AH和ESP是IPSec的两种清静协议，用于实现IPSec在身份认证和数据加密的清静机制。

AH协议（Authentication Header，协议号51），主要提供数据完整性确认、数据泉源确认、防重放等清静特征。AH通常使用MD5-HMAC、SHA-HMAC等验证算法实现数据完整性；
ESP协议（Encapsulating Security Payload，协议号50），主要提供数据完整性确认、数据加密、数据泉源确认、防重放等清静特征。ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5-HMAC、SHA-HMAC等验证算法实现数据完整性。ESP协议相比AH协议多了支持数据加密、支持NAT穿越（NAT-T）这两大优势，是现在IPSec VPN较为常用的清静协议。

IPSec SA封装模式

封装模式用于指定清静协议的封装位置，有传输模式和隧道模式两种：

传输（Transport）模式下，AH头或ESP头插入IP头和传输层协议之间，不改变原始报文头，IPSec隧道的源和目的地址就是最终通讯双方的源和目的地址，以是只能�；ち礁鯥PSec对等体之间相互通讯。一样平常常用在使用GRE over IPSec或L2TP over IPSec协议的场景中，使用IPSec隧道�；RE或L2TP对等体；

隧道（Tunnel）模式下，AH头或ESP头插在原始IP头之前，并且新天生一个IP头放在ESP头或AH头之前，以是可以�；ち礁鯥PSec对等体背后两个网络之间举行通讯。一样平常常用在站点间网络互通的场景，是较常用的封装模式。

97国际·(中国区)集团官方网站

图5：AH协议两种封装模式下报文封装

97国际·(中国区)集团官方网站

图6：ESP协议两种封装模式下报文封装

IPSec SA加密方法

IPSec SA支持使用的加密方法与IKE SA相同，参考本文《IKE SA加密方法》小节。

IPSec SA验证方法

IPSec SA支持使用的验证方法与IKE SA相同，参考本文《IKE SA验证方法》小节。

IPSec SA生命周期

为了确保清静，IPSec SA将在经由一准时间（0或者120秒到86400秒，缺省3600秒）或抵达一定通讯量（0或2560KB到536870912KB，缺省4608000KB）之后超时，重新协商，并使用新的密钥。新IPSec SA在生命周期超时前30秒，或经由这条隧道的数据通讯量距生命周期尚有256KB时最先举行协商（凭证哪个先爆发）。

当在举行IPSec SA协商时，两头对等体设置的IPSec SA生命周期差别不会造成IPSec SA协商失败，而使用提倡方设置的IPSec SA生命周期。

IPSec VPN高级功效

97国际·(中国区)集团官方网站

图7：IPSec VPN高级功效

IPSec隧道自动建设（Set Autoup）

在默认情形下IPSec VPN设置完后，IPSec隧道是由数据流量触发后再协商建设的。设置IPSec隧道自动建设（Set Autoup）功效后，不管是否有数据流量触发，只要完成IPSec VPN设置后，装备会自行触发IPSec隧道建设。

IPSec链路探测（DPD/Track）

DPD探测

在默认情形下两头装备建设IPSec隧道后，当一端装备泛起问题后另一端是无感知的，另一端装备会继续通过IPSec隧道发送数据给故障装备导致数据通讯中止。此时需要期待IPSec隧道超时后故障IPSec隧道才会中止（IPSec隧道默认超时时间为一小时）。

DPD探测是通过发送IKE报文确认对端装备IKE SA状态是否正常的一种探测机制，当探测到对端IKE状态异常时，会扫除对应的IKE SA和IPSec SA。

DPD探测有两种事情模式：

按需探测模式（On-demand），在凌驾设置的探测时间且当有数据报文发送时，装备会发送DPD新闻探测对端装备是否正常，当发送5次DPD信息都没有收到对端装备回包会以为对端IKE SA状态异常；
周期探测模式（Periodic），装备会凭证设置的探测时间周期性自动发送 DPD 新闻探测对端装备是否正常，当发送5次DPD信息都没有收到对端装备回包会以为对端IKE SA状态异常。

综上按需探测模式比周期探测模式会发送更少的DPD信息只在数据报文发送前检测，节约装备资源及网络带宽资源，但探测到对端装备故障的时间会比周期探测模式长，读者凭证自身营业需求使用合适模式举行DPD探测即可。

Track探测

DPD探测通过交互IKE报文可以探测到对端装备IKE SA状态是否正常，关于IKE SA状态正常而IPSec SA异常的情形DPD探测就无能为力了，这种情形同样会导致IPSec营业中止。Track探测通过按期发送ICMP或UDP报文探测IPSec现实营业是否正常，当Track探测到IPSec营业欠亨时会扫除对应的IPSec SA举行重新协商。一样平常建议同时设置DPD探测和Track探测。

NAT穿越（NAT-T）

装备默认开启NAT穿越（NAT-T）功效，用于解决当建设IPSec VPN的两台装备间保存NAT装备ESP报文无法通过的问题。ESP报头封装在IP层之上IP协议号50以是无法通过NAT装备, NAT-T通过在ESP报文之上封装4500端口的UDP报头解决该问题。

97国际·(中国区)集团官方网站

图8：NAT-T在ESP报文之上封装4500端口的UDP报头

在IKE协商的第一阶段（主模式第1、2个报文、野蛮模式第1个报文）支持NAT-T的装备在发送IKE报文中会携带一个检测NAT-T能力的Vendor ID的载荷，当两头装备都携带这个字段就会举行NAT-T协商。当检测双方都支持NAT-T随后（主模式第3、4个报文、野蛮模式第2个报文）会携带一个NAT-D的载荷，NAT-D载荷中包括自己IP地址和端口的HASH值，对端装备收到这个值后会与收到的现实IP地址和端口的Hash值做比照，若是相同说明中心未经由NAT装备，不然说明中心经由NAT装备。若是NAT-T检测到中心经由NAT装备，装备会在下一个报文（主模式第5、6报文、野蛮模式第3个报文）最先插入一个4500端口的UDP报头，至此NAT-T事情竣事。

动态隧道（Crypto Dynamic-map）

一样平常情形下，两头装备都有公网IP地址，设置时两头使用静态隧道的方法相互指定对端公网IP地址举行IPSec隧道建设。现实中也会遇到一端有公网IP地址而另一端没有牢靠公网IP地址或者没有公网IP地址的情形，这种情形两头都使用静态隧道的方法就无法建设IPSec隧道。使用动态隧道设置时无需指定对端IP地址、身份、感兴趣流等，有公网IP地址的一端使用动态隧道可解决另一端没有牢靠公网IP地址或者没有公网IP地址的问题。别的，若是本端需要建设大宗IPSec VPN的对等体也可以使动态隧道，镌汰设置量。

反向路由注入（RRI）

在完成IPSec设置后我们要设置去往对端网段的静态路由，若是感兴趣流网段较多人为手动设置及维护这些路由有些未便�？舴聪蚵酚勺⑷牍π�，当IPSec隧道建设完成后会自动爆发响应的静态路由（目的地址是对端感兴趣流地址，下一跳是对端公网IP地址）注入到路由表中，当IPSec隧道断开后对应的路由也会消逝。反向路由会团结IPSec隧道的建设信息自动天生对端网段路由，这样便能动态地完成路由的添加与删除，阻止大宗人为设置。别的，在装备保存多出口场景，还可以通过反向路由注入举行多出口上IPSec隧道的切换。

使用动态路由协议（GRE over IPSec/L2TP over IPSec）

在IPSec网络中只能通过静态路由设置到对端网段的路由，IPSec对等体之间无法使用动态路由协议举行路由学习，反向路由注入可以一定水平上解决感兴趣流网段较多、静态路由维护本钱高的问题，若是希望使用动态路由协议进一步降低路由维护本钱，可以使用GRE over IPSec VPN或者L2TP over IPSec VPN，使用GRE或者L2TP建设VPN隧道，然后再使用IPSec隧道�；ふ飧鯲PN隧道，此时既包管了数据清静又可在VPN隧道两头使用动态路由协议。

IPSec VPN典范场景

单总部单分支场景

场景Ⅰ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图9：IPSec VPN典范场景Ⅰ设置表

场景Ⅱ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图10：IPSec VPN典范场景Ⅱ设置表

场景Ⅲ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图11：IPSec VPN典范场景Ⅲ设置表

场景Ⅳ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图12：IPSec VPN典范场景Ⅳ设置表

场景Ⅴ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图13：IPSec VPN典范场景Ⅴ设置表

场景Ⅵ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图14：IPSec VPN典范场景Ⅵ设置表

多总部多分支场景

场景Ⅶ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图15：IPSec VPN典范场景Ⅶ设置图

场景Ⅷ

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

图16：IPSec VPN典范场景Ⅷ设置表

在多总部多分支场景下，除以上两种单出口情形外，多出口的情形也较为常见。安排时将以上两种多总部多分支场景与单总部单分支场景下多出口的情形团结使用即可，本章不在赘述。

IPSec VPN故障排查

IPSec VPN使用时难免会遇到隧道建设失败的情形。一样平常IPSec VPN故障可分为三类：IKE SA建设失败；IPSec SA建设失败；IPSec SA建设乐成但数据欠亨。在遇到IPSec VPN故障时读者可审查提倡方和吸收方状态并对好比下IPSec对等体状态剖析图确认属于哪类故障，然后凭证每类故障常见缘故原由举行排查。

图17：审查IPSec对等体状态

97国际·(中国区)集团官方网站

18：IPSec对等体状态剖析

IKE报文交互知识点回首

在剖析每类故障常见爆发缘故原由前，作者首先带各人回首下IKE报文交互情形，只有知道了每个报文在交互什么内容，在遇到IPSec建设停留在某一阶段时，我们才知道排查的偏向。IKE通过两个阶段来建设IPSec SA，第一阶段接纳主模式或者野蛮模式建设IKE SA，第二阶段接纳快速模式建设IPSec SA。

IKE第一阶段（主模式）：

第1-2个报文携带IKE战略，举行IKE战略协商，IKE战略包括：加密算法、HASH算法、DH组、验证方法、IKE SA生命周期，
第3-4个报文携带DH算法需要的质料，举行DH算法盘算天生密钥，
第5-6个报文携带身份信息及认证信息，举行对等体间的认证，完成IKE SA建设。需要注重的是从第5个报文最先有两处转变，第一点是报文最先被加密�；�，第二点是若是保存NAT穿越的情形UDP端口号将从500变为4500

97国际·(中国区)集团官方网站

图19：主模式报文交互流程及对等体状态

IKE第一阶段（野蛮模式）：

第1个报文发送方发送IKE战略、DH算法需要的质料、身份信息，IKE战略包括：加密算法、HASH算法、DH组、验证方法、IKE SA生命周期；
第2个报文吸收方回应匹配的IKE战略，发送DH算法需要的质料、身份信息、认证信息；
第3个报文发送方发送认证信息完成认证，完成IKE SA建设。若是保存NAT穿越的情形从该报文最先UDP端口号从500变为4500。

97国际·(中国区)集团官方网站

图20：野蛮模式报文交互流程及对等体状态

IKE第二阶段：

第1个报文发送方发送IPSec转换集、感兴趣流，举行IPSec参数协商，IPSec转换集包括：封装模式、清静协议、加密算法、HASH算法、IPSec SA生命周期。另外若是开启PFS还会携带DH算法需要的质料，举行DH算法盘算天生新的密钥；
第2个报文吸收方回应匹配的IPSec战略、感兴趣流及DH算法需要的质料(若是开启PFS)；
第3个报文发送方举行效果确认，双方完成IPSec SA建设。

小提醒：PFS（Perfect Forward Secrecy）是一种清静机制，默认情形下IPSec SA会直接使用IKE SA通过DH算法天生的密钥，开启PFS机制后，IPSec SA在协商时会在特殊举行一次DH密钥交流算法，使IPSec SA使用的密钥与IKE SA使用的密钥差别，提高清静性。

IKE SA建设失败故障缘故原由剖析

97国际·(中国区)集团官方网站

图21：IKE第一阶段IKE SA建设失败缘故原由

IPSec SA建设失败故障缘故原由剖析

97国际·(中国区)集团官方网站

图22：IKE第二阶段IPSec SA建设失败缘故原由

IPSec SA建设乐成但数据欠亨故障缘故原由剖析

97国际·(中国区)集团官方网站

图23：IPSec SA建设乐成但数据欠亨缘故原由

写在最后

本文团结理论与实践对IPSec VPN手艺的基础参数、高级功效、典范实践场景及故障排查要领举行了深入剖析。除了IPSec VPN手艺外L2TP over IPSec VPN、GRE over IPSec VPN等VPN手艺也在一些企业站点间使用，读者可团结本文思绪自行举行研究。

相关推荐：

VPN手艺浅谈之怎样安排远程办公网络
企业办公网接入认证手艺详解
居安思危，自动刷新 ——浅析园区办公网络的建设

相关标签：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

点赞

<< IT小张：618别人剁手我剁“框”！

IT小张：一台交流机和“隐秘的角落”不得不说的关系 >>

客户谈论

暂无谈论

我要谈论

您的姓名

您的手机号*

您的邮箱

公司名称

您的谈论*

我已仔细阅读并赞成隐私声明

验证码*

提交谈论

更多手艺博文

任何需要，请联系97国际

与售前照料攀谈

填写项目需求表单

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法