站点间IPSec VPN网络手艺深度剖析

【IPSec VPN】本文首先通过梳理IPSec VPN中各手艺的用途及之间的关联关系资助各人明确手艺原理，其次为各人先容IPSec VPN的一些高级功效，最后为各人分享典范实践场景和故障排查要领。

宣布时间：2020-07-01
点击量：
点赞：

分享至

我想谈论

本文作者：田思杨

97国际网络手艺服务部互联网服务中心

前言

在上一篇《VPN手艺浅谈之怎样安排远程办公网络》中，作者为各人分享了端到站点VPN手艺，该手艺主要使用在远程办公职员和企业网络互通场景，而站点到站点VPN手艺常用于总部与分支之间的网络互通，通过使用组织已有的互联网出口，使用VPN手艺虚拟出一条“专线”，将企业的分支机构和总部毗连起来，组成一个大的局域网。站点到站点VPN主要包括IPSec VPN、L2TP VPN、L2TP over IPSec VPN、GRE VPN、GRE over IPSec VPN、SSL VPN等。IPSec VPN手艺因其具有清静性高、本钱低、安排无邪、扩展性好等优点，已成为企业站点间VPN安排的第一手艺选择。

IPSec VPN不是一个单独的协议，而是由一组协议组成，因其包括的手艺多、手艺间关联关系多，许多朋侪无法把IPSec VPN手艺明确透。本文首先通过梳理IPSec VPN中各手艺的用途及之间的关联关系资助各人明确手艺原理，其次为各人先容IPSec VPN的一些高级功效，最后为各人分享典范实践场景和故障排查要领。希望本文能够资助列位读者把IPSec VPN手艺学透、用明确，耐心读完这篇文章相信你会有纷歧样的收获。

97国际支持IPSec VPN的装备有许多种，差别装备对各IPSec VPN手艺的支持情形略有差别，本文以97国际网关装备为例给各人解说，如读者使用其他装备欢迎联系97国际工程师或到97国际官网盘问，谢谢。

97国际·(中国区)集团官方网站

图1：常见企业VPN接入拓扑模子

IPSec VPN基础参数

IPSec中通讯双方建设的毗连叫做清静关联（IPSec SA），双方通过参数协商完成IPSec SA建设后，通过IPSec SA传输加密的数据报文举行通讯。以是两个对等体间要想通过IPSec VPN通讯，首先要建设IPSec SA。在举行IPSec SA建设时对等体间要举行IPSec SA参数协商，两头参数相同时才会建设乐成。

97国际·(中国区)集团官方网站

图2：IPSec VPN基础参数

IPSec SA天生方法

手动指定天生IPSec SA

对等体通过手动指定IPSec SA协商参数天生IPSec SA，IPSec SA建设后没有生涯周限期制，永不过期，除非手工删除，因此保存清静隐患。一样平常推荐在对等体数目较少且无法通过IKE协商建设IPSec SA场景下使用。

IKE协商天生IPSec SA

IKE用于动态建设并实时维护IPSec SA。IKE通过两个阶段来建设IPSec SA，第一阶段首先要协商建设IKE SA，第二阶段通过IKE SA协商建设IPSec SA。

IKE协商天生IPSec SA比手动指定天生IPSec SA保存以下优势：

适用场景富厚：手动指定方法必需对等体两头都有牢靠的公网IP地址，如一端对等体公网IP地址不牢靠必需使用IKE协商方法；
降低设置重漂后：手动指定方法需要手动设置SPI、密钥等信息，在对等体较多的场景设置量较大而未便于维护，IKE协商方法会通过IKE SA来天生和维护这些信息，降低设置重漂后及维护本钱；
提高清静性：手动指定方法建设的IPSec SA密钥是静态的，建设后永不过期，IKE协商方法会通过IKE SA天生密钥，并且生命周期到期后举行老化重新天生，提高了清静性。

小提醒：IKE协议现在有两个版本IKEv1与IKEv2，IKEv1现在较为常用，IKEv2与IKEv1设置思绪相同，但协商历程与IKEv1有所区别，本文不举行解说，本文中泛起的IKE协议均代表IKEv1。

IKE SA协商模式

在IKE第一阶段有两种协商模式可协商建设IKE SA，主模式或者野蛮模式。主模式使用6个报文完成IKE SA建设，而野蛮模式使用3个报文完成IKE SA建设，与主模式相比野蛮模式镌汰交互报文数目从而加速了协商速率，但因对身份信息和认证信息接纳明文交互，没有加密�；�，因此不清静，作者不推荐使用。

野蛮模式早期设计主要为解决一端对等体公网IP地址不牢靠或没有公网IP地址的场景下主模式无法协商建设的问题，现在该问题可以通过“动态隧道”的要领更好地解决，以是推荐使用主模式。野蛮模式仅在97国际装备与非97国际装备建设IPSec使用主模式无法建设乐成下使用，其他场景下不推荐使用。

小提醒：主模式和野蛮模式报文交互详细流程参考本文《IKE报文交互知识点回首》小节。

IKE SA加密方法

IKE SA使用对称加密算法对数据举行加密息争密，包管数据的清静性。常用的对称加密算法有DES、3DES、AES等，这三个加密算法的清静性由高到低依次是：AES、3DES、DES，清静性高的加密算法实现机制重大，运算速率慢。

97国际·(中国区)集团官方网站

图3：IKE SA常用的对称加密算法

IKE SA验证方法

IKE SA使用验证算法对报文完整性及泉源正当性举行验证，常用的验证方法有MD5-HMAC、SHA1-HMAC等，是HASH算法和HMAC两种手艺的团结。

HASH算法实现对报文举行完整性校验，常见的HASH算法有MD5、SHA1等，MD5算法的盘算速率比SHA1算法快，而SHA1算法的清静强度比MD5算法高。

97国际·(中国区)集团官方网站
图4：IKE SA常用的HASH算法

HMAC(Hash-based Message Authentication Code)是一种基于HASH算法和密钥举行新闻认证的要领，实现对报文泉源的正当性举行验证，可以与任何HASH算法捆绑使用。

IKE SA密钥天生方法

DH（Diffie-Hellman）是一种非对称密钥算法，双方可通过仅交流一些数据，即可盘算出双方的密钥，并且第三方捕获了其中的数据也无法盘算得出密钥。DH爆发的密钥用于数据报文加密及HMAC盘算中。对等体两头DH组长度需指定为相同，常用的DH组长度有768bit（DH1）、1024bit（DH2）、1536bit（DH5）。

IKE SA认证方法

在IKE对等体之间在举行身份认证时支持通过预共享密钥认证和数字证书认证两种方法来确认对方身份的正当性。预共享密钥认证设置较量简朴，是现在较量常用的认证方法。数字证书认证相对重大但清静性较高，对清静性有较高要求的场景建议使用数字证书认证。

IKE SA身份标识

在IKE SA协商中对等体双方需要使用相同类型的身份标识，常用的身份标识类型有4种，IP地址、FQDN、USER-FQDN、证书DN。数字证书认证通常接纳证书DN作为外地身份标识。预共享密钥认证默认接纳IP地址作为外地身份标识，通常使用接纳IP地址作为外地身份标识即可，若遇到以下两种场景推荐手动修改使用FQDN或USER-FQDN：

若是对等体的IP地址为域名形式，则必需使用FQDN或USER-FQDN；
对等体较多的场景下，建议接纳FQDN或USER-FQDN，便于区分每个对等体对应是哪个分支。

小提醒：身份标识类型与协商模式无关，任何身份标识在主模式或野蛮模式下均可使用，好比主模式使用FQDN作为身份标识或野蛮模式使用IP作为身份标识都可正常完成IKE SA协商，只要对等体两头使用相同类型身份标识即可。

IKE SA生命周期

由于IPSec SA协商是建设在IKE SA基础上的，因此为节约协商IPSec SA的时间，一样平常IKE SA生命周期（60秒到86400秒，缺省86400秒）比IPSec SA生命周期设置的长。当在举行IKE SA协商时，两头对等体设置的IKE SA生命周期差别不会造成IKE SA协商失败，而使用发送方设置的IKE SA生命周期。

IPSec SA清静协议

AH和ESP是IPSec的两种清静协议，用于实现IPSec在身份认证和数据加密的清静机制。

AH协议（Authentication Header，协议号51），主要提供数据完整性确认、数据泉源确认、防重放等清静特征。AH通常使用MD5-HMAC、SHA-HMAC等验证算法实现数据完整性；
ESP协议（Encapsulating Security Payload，协议号50），主要提供数据完整性确认、数据加密、数据泉源确认、防重放等清静特征。ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5-HMAC、SHA-HMAC等验证算法实现数据完整性。ESP协议相比AH协议多了支持数据加密、支持NAT穿越（NAT-T）这两大优势，是现在IPSec VPN较为常用的清静协议。

IPSec SA封装模式

封装模式用于指定清静协议的封装位置，有传输模式和隧道模式两种：

传输（Transport）模式下，AH头或ESP头插入IP头和传输层协议之间，不改变原始报文头，IPSec隧道的源和目的地址就是最终通讯双方的源和目的地址，以是只能�；ち礁鯥PSec对等体之间相互通讯。一样平常常用在使用GRE over IPSec或L2TP over IPSec协议的场景中，使用IPSec隧道�；RE或L2TP对等体；

隧道（Tunnel）模式下，AH头或ESP头插在原始IP头之前，并且新天生一个IP头放在ESP头或AH头之前，以是可以�；ち礁鯥PSec对等体背后两个网络之间举行通讯。一样平常常用在站点间网络互通的场景，是较常用的封装模式。

97国际·(中国区)集团官方网站

图5：AH协议两种封装模式下报文封装

97国际·(中国区)集团官方网站

图6：ESP协议两种封装模式下报文封装

IPSec SA加密方法

IPSec SA支持使用的加密方法与IKE SA相同，参考本文《IKE SA加密方法》小节。

IPSec SA验证方法

IPSec SA支持使用的验证方法与IKE SA相同，参考本文《IKE SA验证方法》小节。

IPSec SA生命周期

为了确保清静，IPSec SA将在经由一准时间（0或者120秒到86400秒，缺省3600秒）或抵达一定通讯量（0或2560KB到536870912KB，缺省4608000KB）之后超时，重新协商，并使用新的密钥。新IPSec SA在生命周期超时前30秒，或经由这条隧道的数据通讯量距生命周期尚有256KB时最先举行协商（凭证哪个先爆发）。

当在举行IPSec SA协商时，两头对等体设置的IPSec SA生命周期差别不会造成IPSec SA协商失败，而使用提倡方设置的IPSec SA生命周期。

IPSec VPN高级功效

97国际·(中国区)集团官方网站

图7：IPSec VPN高级功效

IPSec隧道自动建设（Set Autoup）

在默认情形下IPSec VPN设置完后，IPSec隧道是由数据流量触发后再协商建设的。设置IPSec隧道自动建设（Set Autoup）功效后，不管是否有数据流量触发，只要完成IPSec VPN设置后，装备会自行触发IPSec隧道建设。

IPSec链路探测（DPD/Track）

DPD探测

在默认情形下两头装备建设IPSec隧道后，当一端装备泛起问题后另一端是无感知的，另一端装备会继续通过IPSec隧道发送数据给故障装备导致数据通讯中止。此时需要期待IPSec隧道超时后故障IPSec隧道才会中止（IPSec隧道默认超时时间为一小时）。

DPD探测是通过发送IKE报文确认对端装备IKE SA状态是否正常的一种探测机制，当探测到对端IKE状态异常时，会扫除对应的IKE SA和IPSec SA。

DPD探测有两种事情模式：

按需探测模式（On-demand），在凌驾设置的探测时间且当有数据报文发送时，装备会发送DPD新闻探测对端装备是否正常，当发送5次DPD信息都没有收到对端装备回包会以为对端IKE SA状态异常；
周期探测模式（Periodic），装备会凭证设置的探测时间周期性自动发送 DPD 新闻探测对端装备是否正常，当发送5次DPD信息都没有收到对端装备回包会以为对端IKE SA状态异常。

综上按需探测模式比周期探测模式会发送更少的DPD信息只在数据报文发送前检测，节约装备资源及网络带宽资源，但探测到对端装备故障的时间会比周期探测模式长，读者凭证自身营业需求使用合适模式举行DPD探测即可。

Track探测

DPD探测通过交互IKE报文可以探测到对端装备IKE SA状态是否正常，关于IKE SA状态正常而IPSec SA异常的情形DPD探测就无能为力了，这种情形同样会导致IPSec营业中止。Track探测通过按期发送ICMP或UDP报文探测IPSec现实营业是否正常，当Track探测到IPSec营业欠亨时会扫除对应的IPSec SA举行重新协商。一样平常建议同时设置DPD探测和Track探测。

NAT穿越（NAT-T）

装备默认开启NAT穿越（NAT-T）功效，用于解决当建设IPSec VPN的两台装备间保存NAT装备ESP报文无法通过的问题。ESP报头封装在IP层之上IP协议号50以是无法通过NAT装备, NAT-T通过在ESP报文之上封装4500端口的UDP报头解决该问题。

97国际·(中国区)集团官方网站

图8：NAT-T在ESP报文之上封装4500端口的UDP报头

在IKE协商的第一阶段（主模式第1、2个报文、野蛮模式第1个报文）支持NAT-T的装备在发送IKE报文中会携带一个检测NAT-T能力的Vendor ID的载荷，当两头装备都携带这个字段就会举行NAT-T协商。当检测双方都支持NAT-T随后（主模式第3、4个报文、野蛮模式第2个报文）会携带一个NAT-D的载荷，NAT-D载荷中包括自己IP地址和端口的HASH值，对端装备收到这个值后会与收到的现实IP地址和端口的Hash值做比照，若是相同说明中心未经由NAT装备，不然说明中心经由NAT装备。若是NAT-T检测到中心经由NAT装备，装备会在下一个报文（主模式第5、6报文、野蛮模式第3个报文）最先插入一个4500端口的UDP报头，至此NAT-T事情竣事。

动态隧道（Crypto Dynamic-map）

一样平常情形下，两头装备都有公网IP地址，设置时两头使用静态隧道的方法相互指定对端公网IP地址举行IPSec隧道建设。现实中也会遇到一端有公网IP地址而另一端没有牢靠公网IP地址或者没有公网IP地址的情形，这种情形两头都使用静态隧道的方法就无法建设IPSec隧道。使用动态隧道设置时无需指定对端IP地址、身份、感兴趣流等，有公网IP地址的一端使用动态隧道可解决另一端没有牢靠公网IP地址或者没有公网IP地址的问题。别的，若是本端需要建设大宗IPSec VPN的对等体也可以使动态隧道，镌汰设置量。

反向路由注入（RRI）

在完成IPSec设置后我们要设置去往对端网段的静态路由，若是感兴趣流网段较多人为手动设置及维护这些路由有些未便�？舴聪蚵酚勺⑷牍π�，当IPSec隧道建设完成后会自动爆发响应的静态路由（目的地址是对端感兴趣流地址，下一跳是对端公网IP地址）注入到路由表中，当IPSec隧道断开后对应的路由也会消逝。反向路由会团结IPSec隧道的建设信息自动天生对端网段路由，这样便能动态地完成路由的添加与删除，阻止大宗人为设置。别的，在装备保存多出口场景，还可以通过反向路由注入举行多出口上IPSec隧道的切换。

使用动态路由协议（GRE over IPSec/L2TP over IPSec）

在IPSec网络中只能通过静态路由设置到对端网段的路由，IPSec对等体之间无法使用动态路由协议举行路由学习，反向路由注入可以一定水平上解决感兴趣流网段较多、静态路由维护本钱高的问题，若是希望使用动态路由协议进一步降低路由维护本钱，可以使用GRE over IPSec VPN或者L2TP over IPSec VPN，使用GRE或者L2TP建设VPN隧道，然后再使用IPSec隧道�；ふ飧鯲PN隧道，此时既包管了数据清静又可在VPN隧道两头使用动态路由协议。

IPSec VPN典范场景

单总部单分支场景

场景Ⅰ

97国际·(中国区)集团官方网站

图9：IPSec VPN典范场景Ⅰ设置表

场景Ⅱ

97国际·(中国区)集团官方网站

图10：IPSec VPN典范场景Ⅱ设置表

场景Ⅲ

97国际·(中国区)集团官方网站

图11：IPSec VPN典范场景Ⅲ设置表

场景Ⅳ

97国际·(中国区)集团官方网站

图12：IPSec VPN典范场景Ⅳ设置表

场景Ⅴ

97国际·(中国区)集团官方网站

图13：IPSec VPN典范场景Ⅴ设置表

场景Ⅵ

97国际·(中国区)集团官方网站

图14：IPSec VPN典范场景Ⅵ设置表

多总部多分支场景

场景Ⅶ

97国际·(中国区)集团官方网站

图15：IPSec VPN典范场景Ⅶ设置图

场景Ⅷ

97国际·(中国区)集团官方网站

图16：IPSec VPN典范场景Ⅷ设置表

在多总部多分支场景下，除以上两种单出口情形外，多出口的情形也较为常见。安排时将以上两种多总部多分支场景与单总部单分支场景下多出口的情形团结使用即可，本章不在赘述。

IPSec VPN故障排查

IPSec VPN使用时难免会遇到隧道建设失败的情形。一样平常IPSec VPN故障可分为三类：IKE SA建设失败；IPSec SA建设失败；IPSec SA建设乐成但数据欠亨。在遇到IPSec VPN故障时读者可审查提倡方和吸收方状态并对好比下IPSec对等体状态剖析图确认属于哪类故障，然后凭证每类故障常见缘故原由举行排查。

图17：审查IPSec对等体状态

97国际·(中国区)集团官方网站

18：IPSec对等体状态剖析

IKE报文交互知识点回首

在剖析每类故障常见爆发缘故原由前，作者首先带各人回首下IKE报文交互情形，只有知道了每个报文在交互什么内容，在遇到IPSec建设停留在某一阶段时，我们才知道排查的偏向。IKE通过两个阶段来建设IPSec SA，第一阶段接纳主模式或者野蛮模式建设IKE SA，第二阶段接纳快速模式建设IPSec SA。

IKE第一阶段（主模式）：

第1-2个报文携带IKE战略，举行IKE战略协商，IKE战略包括：加密算法、HASH算法、DH组、验证方法、IKE SA生命周期，
第3-4个报文携带DH算法需要的质料，举行DH算法盘算天生密钥，
第5-6个报文携带身份信息及认证信息，举行对等体间的认证，完成IKE SA建设。需要注重的是从第5个报文最先有两处转变，第一点是报文最先被加密�；�，第二点是若是保存NAT穿越的情形UDP端口号将从500变为4500

97国际·(中国区)集团官方网站

图19：主模式报文交互流程及对等体状态

IKE第一阶段（野蛮模式）：

第1个报文发送方发送IKE战略、DH算法需要的质料、身份信息，IKE战略包括：加密算法、HASH算法、DH组、验证方法、IKE SA生命周期；
第2个报文吸收方回应匹配的IKE战略，发送DH算法需要的质料、身份信息、认证信息；
第3个报文发送方发送认证信息完成认证，完成IKE SA建设。若是保存NAT穿越的情形从该报文最先UDP端口号从500变为4500。

97国际·(中国区)集团官方网站

图20：野蛮模式报文交互流程及对等体状态

IKE第二阶段：

第1个报文发送方发送IPSec转换集、感兴趣流，举行IPSec参数协商，IPSec转换集包括：封装模式、清静协议、加密算法、HASH算法、IPSec SA生命周期。另外若是开启PFS还会携带DH算法需要的质料，举行DH算法盘算天生新的密钥；
第2个报文吸收方回应匹配的IPSec战略、感兴趣流及DH算法需要的质料(若是开启PFS)；
第3个报文发送方举行效果确认，双方完成IPSec SA建设。

小提醒：PFS（Perfect Forward Secrecy）是一种清静机制，默认情形下IPSec SA会直接使用IKE SA通过DH算法天生的密钥，开启PFS机制后，IPSec SA在协商时会在特殊举行一次DH密钥交流算法，使IPSec SA使用的密钥与IKE SA使用的密钥差别，提高清静性。