IPSec VPN建立方式:
- 点对点:两端设备(防火墙、路由器、VPN网关)直接建立IPSec VPN虚拟隧道。
- 点对多点:以一台设备(防火墙、路由器、VPN网关)为中心,其他设备(防火墙、路由器、VPN网关)均与之建立IPSec VPN虚拟隧道。应用场景多用于有多台无公网IP设备(防火墙、路由器、VPN网关)都需要与一台设备(防火墙、路由器、VPN网关)建立IPSec VPN虚拟隧道。
- 这种比较少见,中间转接:适用于两台设备(防火墙、路由器、VPN网关)A、B都与一台设备(防火墙、路由器、VPN网关)C已建立IPSec VPN虚拟隧道,为了互联互通,可以在设备C与A或B的IPSec VPN虚拟隧道里添加一条A和B互访加密流,再在A或B与C建立一条A和B互通的加密流。间接A、B直接建立IPSec VPN虚拟隧道,达到之间互通。
IPSec VPN建立要点:
1、建立一条IPSec策略,命名策略名(见名思意,两端可不一致),选择虚拟接口,本端和对端IP(对端无公网IP可不写)地址。
2、两端设备建立隧道认证方式要一致,如预共享密钥、RSA签名、RSA数字信封、国密数字信封
3、两端设备互联标识(本端/对端ID)建立隧道的模式要一致,如均为(FQDN/IP地址/ESN等),建议已FQDN模式,设置成见名思意的名称,易于排查故障。
4、两端设备添加加密流,源地址/组是本端内网的,目的地址/组是对端的。
5、开启反向路由注入,不然就的配置一条策略路由,且不做nat转换。
6、第一阶段通信协商,即ike参数配置。包括ike版本、协商模式、加密算法、认证算法、DH组和SA超时时间。这些参数两端需配置一致。
7、第二阶段建立IPSec VPN虚拟隧道,配置内容包括数据封装模式(自动、传输模式、隧道模式,一般选择隧道模式或自动)、安全协议(ESP、AH、AH-ESP)、ESP加密算法、ESP认证算法)、FPS组、SA超时(基于时间、基于流量,一般默认即可)、DPD对端状态检测(包含检测方式、检测时间间隔、重传时间间隔,一般保持默认即可),这相关配置两端需保持一致。
8、CLI命令display ipsec sa查看是否建立IPSec VPN虚拟隧道是否建立。
IPSec VPN排查点:
- 根据上面建立IPSec VPN虚拟隧道,排查是否两端配置是否有误。
- 策略路由不做nat转换比较容易忽略,需加倍注意。