爱快从2.67版本号,多了一个期待已久的功能:【IPSec VPN】设置上也相应的简易方便,几张图例则可以清楚的了解!
实现功能:
♦将两地或者多地异地连接成为一个局域网
♦安全性更高,连接速度更快!
一、名词解释
IPsec是Internet工程任务组(IETE)制定的一个开放的网络层安全框架协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。IPsec主要包括安全协议AH(Authentication Header)和ESP(Encapsulating Security Payload),密钥管理交换协议IKE(Internet Key Exchange)以及用于网络认证及加密的一些算法等。 二、使用说明
【服务器状态】:通过启动按钮关闭或者开启IPsec服务。
【名称】:网络中存在多个IPsec时可以通过“名称”来进行区分。
【对方IP或者域名】:建立IpsecVPN的对端外网地址或者域名。
【本地子网】:建立 IPsec VPn的本地网段。注:建立IPsecVPN后只有设置的本地子网才能通过Ipsec访问对端的子网。
【对方子网】:建立IpsecVPn的对端网段。注:本地网段只能与对方子网建立IPsecVPn连接。本地子网不能与对方子网之外的网段,建立IpsecVPN连接。
【IKE协商重试次数】:最大协商失败次数,超过设置次数,就不再进行协商。注:超过协商次数后想恢复此IPsec VPN的链接,可以关闭再启动此Ipsec VPn即可。
【IKE存活时间】:IKE再次协商建立的时间。
【IKE提议】:IKE建立过程中使用的算法。
算法分为下面几种:加密算法、认证算法,秘钥交换算法。
注:两端可以设置为自动协商,可以一端设置特定的方式,另一端进行自动协商。
特别要注意的是当两端为非自动协商模式的话,两端设置必须完全一致。【认证方式】:分为预共享密钥以及自签证书。
预共享秘钥:配置简单,兼容性较好。
自签证书:通过生成的密钥以及证书来进行验证。【ESP存活时间】:通道重新协商时间【ESP加密算法】:IPsec通道的安全策略。【ESP认证算法】:IPsec通道的安全策略【允许压缩】:压缩节省带宽,但是会占用一定的CPu资源。注:需要协商,两端都要支持才可以压缩。范例举例:Ipsec的建立情况
第一种情况:认证方式使用预共享模式
1、网络拓扑如下:IK1下面的192.168.15.0/24网段需要与IK2下面的192.168.38.0/24通过IPsec互通。
默认情况下两IK1与IK2路由下的客户端是不通的。如下图。
2、IK1设置
3、IK2设置
两端建议IPSecVPN可以互通。注:预共享密钥必须设置为一致。允许压缩可节省带宽,但是会占用CPu,
第二种情况:使用自签证书来进行建立IPsec:
其他的设置与上面预共享一致,认证方式处选择自签证书不同。
A.认证方式:选择自签证书
B.本地标识输入后点击生成私钥及证书,
C.对方标识填写对端IPsec VPn的标识.
D.对方证书处填写对端Ipsec VPn的证书.特别要注意的是:本地标识与对端标识两端要对应。三、知识扩展AH与ESP:1、Ipsec通过AH(Authentication header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷)两个安全协议实现IP报文的封装/解封装。
AH是报文头验证协议,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。
ESp是封装安全载荷协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。注:AH和ESP协议提供的安全功能依赖于协议采用的加密、验证算法。2、IPsec网关的加密和验证算法所使用的密钥可以手工配置,也可以动态协商。为了密钥的安全性以及管理简单,Ipsec协议框架中引入IKE协议实现安全联盟动态协商和密钥管理功能。
IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP(internet security association and key management protocol)框架之上,采用DH(diffie-hellman)算法在不安全的网络上安全的分发密钥、验证身份,以保证数据传输的安全性。
IKE现分为IKE V1以及IKE V2版本,爱快使用IKE V2版本,下面会着重讲解下IKEV2Ipsec建立的过程。IPsec建立过程:(重点讲解下IKEV2协商过程)
IKEV2相比于IKEV1版本,简化了消息交换的过程,IKE V1至少需要交换6条消息。IKEV2正常情况下使用2次交换共4条消息就可以完成一个IKE SA和一对Ipsec SA,如果要求建立 IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。
IKEV2定义了三种交换:初始交换、创建子SA交换以及通知交换
1、初始交换IKE通信总是从IKE安全联盟初始交换(ike_sa_init交换)和IKE认证交换(ike_auth交换)开始。这2个交换通常由4条消息组成,在某些场景下消息数目可能会增加。所有使用IKE的通信都由请求/响应组成。IKE安全联盟初始交换和IKE认证交换完成后可以建立一个IKE SA和第一对child_sa(即Ipsec SA)如上图:使用两个包来建立IKE sa,使用两个包来建立IPsec SA。2、创建子SA交换:当一个IKE SA需要创建多对Ipsec SA时,需要使用创建子SA交换来协商多于一对的SA,另外创建子SA交换还可以用于进行IKE SA的重协商。
创建子SA交换包含一个交换两个消息。在IKEv1中这个交换称为阶段2交换(快速模式交换)。这个交换必须在IKE初始交换完成之后才能进行,交换的发起者可以是IKE初始交换的发起者,也可以是IKE初始交换的响应者。在交换中的两个消息需要由IKE初始交换协商的密钥进行保护。
类似于IKEV1的PFS,创建子SA交换阶段可以重新进行一次DH交换,生成新的密钥材料。生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。 3、通知交换:运行IKE协商的两端有时会传递一些控制信息,例如错误信息或者通告信息,这些信息在IKEV2中是通过通知交换完成的。
通知交换必须在IKE SA保护下进行,也就是说通知交换只能发生在初始交换之后。注:爱快路由支持的是ikev2 ESP封装,IPsec VPN两端都需要为公网地址,且两端不能过NAT。
万紫千红一堆官方话,下面一张图解决
