【爱快 IPSec VPN 设置方式】

爱快从2.67版本号,多了一个期待已久的功能:【IPSec VPN】设置上也相应的简易方便,几张图例则可以清楚的了解!

实现功能:

♦将两地或者多地异地连接成为一个局域网

♦安全性更高,连接速度更快!

 一、名词解释

IPsec是Internet工程任务组(IETE)制定的一个开放的网络层安全框架协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。IPsec主要包括安全协议AH(Authentication Header)和ESP(Encapsulating Security Payload),密钥管理交换协议IKE(Internet Key Exchange)以及用于网络认证及加密的一些算法等。 二、使用说明【爱快 IPSec VPN 设置方式】-爆米时光范【爱快 IPSec VPN 设置方式】-爆米时光范【服务器状态】:通过启动按钮关闭或者开启IPsec服务。

【名称】:网络中存在多个IPsec时可以通过“名称”来进行区分。

【对方IP或者域名】:建立IpsecVPN的对端外网地址或者域名。

【本地子网】:建立 IPsec VPn的本地网段。注:建立IPsecVPN后只有设置的本地子网才能通过Ipsec访问对端的子网。

【对方子网】:建立IpsecVPn的对端网段注:本地网段只能与对方子网建立IPsecVPn连接。本地子网不能与对方子网之外的网段,建立IpsecVPN连接。

【IKE协商重试次数】:最大协商失败次数,超过设置次数,就不再进行协商。注:超过协商次数后想恢复此IPsec VPN的链接,可以关闭再启动此Ipsec VPn即可。

【IKE存活时间】:IKE再次协商建立的时间。

【IKE提议】:IKE建立过程中使用的算法。

算法分为下面几种:加密算法、认证算法,秘钥交换算法。

注:两端可以设置为自动协商,可以一端设置特定的方式,另一端进行自动协商。

特别要注意的是当两端为非自动协商模式的话,两端设置必须完全一致。【认证方式】:分为预共享密钥以及自签证书。

预共享秘钥:配置简单,兼容性较好。

自签证书:通过生成的密钥以及证书来进行验证。【ESP存活时间】:通道重新协商时间【ESP加密算法】:IPsec通道的安全策略。【ESP认证算法】:IPsec通道的安全策略【允许压缩】:压缩节省带宽,但是会占用一定的CPu资源。注:需要协商,两端都要支持才可以压缩。范例举例:Ipsec的建立情况

第一种情况:认证方式使用预共享模式

1、网络拓扑如下:【爱快 IPSec VPN 设置方式】-爆米时光范IK1下面的192.168.15.0/24网段需要与IK2下面的192.168.38.0/24通过IPsec互通。

默认情况下两IK1与IK2路由下的客户端是不通的。如下图。【爱快 IPSec VPN 设置方式】-爆米时光范2、IK1设置【爱快 IPSec VPN 设置方式】-爆米时光范【爱快 IPSec VPN 设置方式】-爆米时光范3、IK2设置【爱快 IPSec VPN 设置方式】-爆米时光范【爱快 IPSec VPN 设置方式】-爆米时光范两端建议IPSecVPN可以互通。【爱快 IPSec VPN 设置方式】-爆米时光范注:预共享密钥必须设置为一致。允许压缩可节省带宽,但是会占用CPu,

 

 

第二种情况:使用自签证书来进行建立IPsec:

其他的设置与上面预共享一致,认证方式处选择自签证书不同。【爱快 IPSec VPN 设置方式】-爆米时光范【爱快 IPSec VPN 设置方式】-爆米时光范A.认证方式:选择自签证书

B.本地标识输入后点击生成私钥及证书,

C.对方标识填写对端IPsec VPn的标识.

D.对方证书处填写对端Ipsec VPn的证书.特别要注意的是:本地标识与对端标识两端要对应。三、知识扩展AH与ESP1、Ipsec通过AH(Authentication header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷)两个安全协议实现IP报文的封装/解封装。

AH是报文头验证协议,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。

ESp是封装安全载荷协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。注:AH和ESP协议提供的安全功能依赖于协议采用的加密、验证算法。2、IPsec网关的加密和验证算法所使用的密钥可以手工配置,也可以动态协商。为了密钥的安全性以及管理简单,Ipsec协议框架中引入IKE协议实现安全联盟动态协商和密钥管理功能。

IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP(internet security association and key management protocol)框架之上,采用DH(diffie-hellman)算法在不安全的网络上安全的分发密钥、验证身份,以保证数据传输的安全性。

IKE现分为IKE V1以及IKE V2版本,爱快使用IKE V2版本,下面会着重讲解下IKEV2Ipsec建立的过程。IPsec建立过程:(重点讲解下IKEV2协商过程)

IKEV2相比于IKEV1版本,简化了消息交换的过程,IKE V1至少需要交换6条消息。IKEV2正常情况下使用2次交换共4条消息就可以完成一个IKE SA和一对Ipsec SA,如果要求建立 IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。

IKEV2定义了三种交换:初始交换、创建子SA交换以及通知交换

1、初始交换IKE通信总是从IKE安全联盟初始交换(ike_sa_init交换)和IKE认证交换(ike_auth交换)开始。这2个交换通常由4条消息组成,在某些场景下消息数目可能会增加。所有使用IKE的通信都由请求/响应组成。IKE安全联盟初始交换和IKE认证交换完成后可以建立一个IKE SA和第一对child_sa(即Ipsec SA)【爱快 IPSec VPN 设置方式】-爆米时光范如上图:使用两个包来建立IKE sa,使用两个包来建立IPsec SA。2、创建子SA交换:当一个IKE SA需要创建多对Ipsec SA时,需要使用创建子SA交换来协商多于一对的SA,另外创建子SA交换还可以用于进行IKE SA的重协商。

创建子SA交换包含一个交换两个消息。在IKEv1中这个交换称为阶段2交换(快速模式交换)。这个交换必须在IKE初始交换完成之后才能进行,交换的发起者可以是IKE初始交换的发起者,也可以是IKE初始交换的响应者。在交换中的两个消息需要由IKE初始交换协商的密钥进行保护。

类似于IKEV1的PFS,创建子SA交换阶段可以重新进行一次DH交换,生成新的密钥材料。生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。 3、通知交换:运行IKE协商的两端有时会传递一些控制信息,例如错误信息或者通告信息,这些信息在IKEV2中是通过通知交换完成的。

通知交换必须在IKE SA保护下进行,也就是说通知交换只能发生在初始交换之后。注:爱快路由支持的是ikev2  ESP封装,IPsec VPN两端都需要为公网地址,且两端不能过NAT。


万紫千红一堆官方话,下面一张图解决

【爱快 IPSec VPN 设置方式】-爆米时光范

*文章为作者独立观点,不代表爆米时光范立场
本文由 YG777 授权 爆米时光范 发表,并经爆米时光范编辑。转载此文章须经作者同意,并请附上出处(爆米时光范)及本页链接。原文链接http://777.5ihome.net/535.html
发表评论

坐等沙发
相关文章
【给 LEDE酸酸乳增加一个更新列表】
【给 LEDE酸酸乳增加一个更新列表】
【群晖虚拟机装 LEDE 旁路+爱快主路由实现全局科学】
【群晖虚拟机装 LEDE 旁路+爱快主路由实…
【给 Operwrt- LEDE 换个主题】
【给 Operwrt- LEDE 换个主题】
【华为HS8145V光猫广东电信修改 IPV6】
【华为HS8145V光猫广东电信修改 IPV6】
【让你的Apple TV 4K 活起来】
【让你的Apple TV 4K 活起来】
【爱快智能组网】
【爱快智能组网】
YG777 站长
珍惜现在 适时失忆