openswan在NAT环境且开启DPD时双方SA生存周期不同可能存在问题

最新推荐文章于 2023-09-13 16:42:15 发布
最新推荐文章于 2023-09-13 16:42:15 发布
阅读量893 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feihongdragon/article/details/42426805
版权
在NAT环境中,当openswan配置了DPD并存在两端SA生存周期不一致的情况时,可能会导致隧道通信异常。由于DPD依赖SA进行探测,生存周期差异可能导致重协商失败,造成两端状态不一致,进而影响隧道的正常工作。为避免这种问题,建议保持两端的生存周期相同。
摘要由CSDN通过智能技术生成

  • ipsec SA存在第1阶段SAISAKMP SA生存周期和第2阶段IPsec SA生存周期

    ISAKMP SA生存周期以两端中配置时间最小为准
    IPsec SA生存周期两端各自以本端配置时间为准

  • ipsec DPD是一种探测对端是否存活的机制

    每一个IPsec SA对应一个DPD,即每一条隧道对应一个DPD
    如果ISAKMP SA不存,DPD将无法工作,因为DPD发包时需使用ISAKMP SA进行加解密

  • ipsec NAT穿越是ipsec两端之间存在NAT设备时对隧道报文进行封装的机制

    一般使用4500 UDP端口进行封包

如果上面描述同时使用,且ipsec两端生存周期配置不同,则可能引起问题

例如:

双端链路之间存在NAT设备
client端ISAKMP SA生存周期配置为3600sIPsec SA生存周期配置为28800s
server端ISAKMP SA生存周期配置为28800sIPsec SA生存周期配置为3600s

当server端ISAKMP SA到期时,server将删除自己

最低0.47元/天 解锁文章
feihongdragon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openswan--NAT穿越配置篇
guoyangbill的博客
01-29 2338
为了是openswan支持nat穿越,需要在nat_traversal=yes 配置。对于NETKEY方式,是自动支持的,对于KLIPS,是必须大nat-t补丁的。   keep_alive=option 选项可以保活ipsec conn,这个作用是保证NAT路由器不会删除连接状态。   rightsubnet=vhost:%no,%priv  其中priv表示virtural_private
锐捷网络—VPN功能—IPSEC 扩展配置—IPSec DPD配置
君逍遥o
09-08 617
通过在分支上配置DPD技术来检测分支与总部间IPSEC对等体的存活情况,避免分支与总部间的通信中断、或者总部路由器上针对该分支相应的IPSEC SA被异常删除后,分支继续将加密数据发往总部,导致总部无法对这部分数据正常解密,数据通信中断。
IPsec DPD检测报文
qq_47529104的博客
05-01 2245
可以看见DPD报文有MID作为序号来标识一对请求与应答,同它的类型也被设置未Informational,翻译过来就是信息类的报文。报文内部并没有很多的相关信息,有的只有几个简单的标识以及MID用来标识当前的回复状态以及当前的报文是请求报文还是回复报文。 ...
IPSec_DPD技术
weixin_34126215的博客
05-26 831
转载于:https://blog.51cto.com/youlemei/1655319
IPSEC的DPD
weixin_33795093的博客
08-09 2094
IKE的DPD 和KEEPALIVER 机制主要是用来判断对方是否存在的,如果发送的KEEPALIVER没法收到回复的话,则立即认为对方不存在了此如果用在一个VRRP组,组在切换的过程中,主设备忽然DOWN了,那KEEPALIVER会导致业务中断,如果使用的是DPD,它会在KEEPALVER没收到,再发送DPD请求,发送3次请求都没收到的话则认为对方...
openswan pluto性能优化方法
最新发布
02-19
openswan源码中的pluto进程在处理隧道数量比较少效率问题没有那么突出,而当隧道增加到成千上万条,它的性能问题显得格外的突出。当添加1万~2万条隧道,cpu的利用率很高,性能下载很多。本文章从优化pluto中...
openswan在centos7上配置
nickyu888的博客
08-03 1747
第一步:安装openswan yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man yum install nss yum install libreswan 第二步:配置 1. cat /etc/ipsec.conf config setup protostack=netkey nat_traversal=yes o
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7669
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
IPSec SA安全联盟
技术人生
06-27 1万+
 IPSec SA安全联盟 目前IMS中在UE与P-CSCF之间唯一的安全机制为IPSecSA,由于IPSecSA的建立是基于AKA鉴权获取的密钥,每次重新认证过程都需要建立新的SA,所以在UE与P-CSCF之间就需要建立新的IPSecSA对。 一、首次注册SA的建立         UE初始Register请求及P-CSCF的401响应是在没有任何
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9400
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3540
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章
鞋带儿
03-25 7911
终于明白是怎么回事了,困扰我好多天了。网上的资料鱼龙混杂,直到这位大虾的出现。 第一阶段 有主模式和积极模式2种 只有remote vpn和Easy vpn是积极模式的,其他都是用主模式来协商的 让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKE SA后,所有后续的协商都将通过加密合完整性检查来保护 phase 1帮助在对等体之间创建了一条安全通道
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9729
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
IKE SA和IPSec SA的区别
bytxl的专栏
06-30 2万+
http://blog.csdn.net/jiangwlee/article/details/7395903
ipsec.conf(5) - Linux man pag 中文翻译
bbjj的博客
05-09 1957
ipsec.conf(5) - Linux man page ****英文网址:https://linux.die.net/man/5/ipsec.conf Name (名称) ipsec.conf - IPsec配置和连接 Description (描述) 可自行配置的ipsec.conf文件为Openswan IPsec子系统指定了大多数配置和控制信息。(重大的例外是有关身份验证...
ISAKMP/IKE阶段1连接
weixin_33748818的博客
11-17 2601
(一)阶段1策略 1、启动ISAKMP(默认是开启的) R1(config)#crypto isakmp enable 2、建立策略(保护阶段1--管理连接) R1(config)#crypto isakmp policy ? <1-10000> Priority of protection suite R1(config-isakmp)#...
IPSec之IKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值