防火墙——IKE对等体检测技术(IPSec6)

已于 2023-08-13 09:51:44 修改
阅读量1k 收藏 2
点赞数
分类专栏: # 网络安全FW理论讲解 文章标签: 运维 网络协议 网络
于 2023-06-09 15:17:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/131128177
版权

目录

IKE对等体检测技术

配置hearbeat检测

配置DPD检测

IKE对等体检测技术

配置hearbeat检测

工作原理

本端定时向对端发送heartbeat报文来告知对端自己处于活动状态

如果本端在超时时间内没有收到hearbeat报文,则认为对端不可达:如果此时IKE SA带有Timeout标记,则删除IKE对等体之间的IKE SA和IPSec SA;如果此时IKE SA没有Timeout标记,则将其标记为Timeout

特点

  • 本端和对端两边的配置需要匹配(一般对端配置的等待heartbeat报文超时时间为本端配置的发送heartbeat报文间隔的3倍)
  • 只有IKEv1才支持hearbeat检测
  • 会对SA的状态产生影响
  • hearbeat检测不是统一的标准,各个厂商可能无法对接
  • 周期性的发送hearbeat报文消耗了两端的CPU资源

配置DPD检测

工作原理

如果本端可以收到对端发来的IPSec流量,则认为对端处于活动状态

如果一定时间间隔内没有当收到对端发来的IPSec流量,则发送DPD报文探测对端的状态

如果发送几次DPD报文后抑制没有收到对端的回应,则认为对端不可达,删除IKE对等体之间的SA(IKE SA和IPSec SA)

DPD工作模式

DPD包括周期和按需两种模式

周期模式

如果当前距离上一次收到对端的IPSec报文或者DPD报文的时间超过DPD空闲时间

则本端主动向对端发送DPD报文

按需模式

当本端需要向对端发送IPSec报文时再进行DPD检测

如果当前距离上一次收到对端的IPSec报文超过DPD空闲时间

则本端主动向对端发送DPD报文

特点

  • DPD为IPsec协议中的标准功能,各个厂商都可支持
  • 本端和对端两边的配置不需要匹配(即可以只在一边进行配置)
  • 不会对SA的状态产生影响

静下心来敲木鱼
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通过ike自动协商建立IPSec策略.docx
12-16
通过不同厂家设备之间的应用ike自动协商技术,描述ike在设备间是怎么去实现协商和实现ipsec安全策略技术的,并把在实现过程中所碰到的技术问题都加以说明和阐述,并附上解决方法。
网络安全课程3 - IPsec与IKE技术详解.pdf
11-04
IKE在IPsec中的作用.................................................................................................................................. 8 IPsec与IKE的关系...................................
IPSec配置简介
hello
07-31 1004
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2。AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2。可以看到pc1与pc2之间的通信已被ESP加密。最终pc1与pc2 可以互相ping 通。PC1 ping通 PC2。
IPSEC VPN——高可用性详解(大学生易读版)
最新发布
qq_74338624的博客
10-31 245
本次讲解我将主要依托于这张拓扑表对知识点进行依次讲解其中,ISP作为运营商,R1与冗余环境R3,R4构成IPsec VPN对等体,PC1为对端内网,R5和PC2为本端内网,其中由于构建IPSEC的原因,R1,R3,R4都有去往对端的静态路由。反向路由注入,active设备会自动向自己的路由表注入一条去往对端内网的静态路由,并且将该路由进行重分布给内网网络环境.用于匹配对端,首先建立SA(安全联盟)空时超闲,用来检测sa的活跃性,在一定时间内,没有检测基于该sa的业务流量的往来则将该sa进行删除。
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2128
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
防火墙之IPSec VPN实验
晚风挽着浮云的博客
06-03 2966
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8838
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
ipsec.rar_IPSec IKE_ipsec_ipsec patch ixp425
09-14
关于linux下的一部分ipsec的资料,还有如何编译内核,及patch的一点基础资料
IPSec 隧道技术--基础实验配置
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
【隧道篇 / IPsec】(5.6) ❀ 08. DDNS更改IP地址后仍然保持IPsec正常连接 ❀ FortiGate 防火墙
防火墙技术专栏
04-13 3747
如何在动态DDNS更改IP地址后仍然保持IPsec正常连接?
IPSec之IKEv1协议详解
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
IKE学习笔记1(IKE的概念)
codestart的专栏
08-12 2660
    IKE(Internet密钥交换)是由RFC2409描述的。    IKE建立在由Internet安全联盟和密钥管理协议定义的一个框架上,沿用ISAKMP基础,Oakley模式和SKEME的共享和密钥更新技术。    IKE的精髓在于永远不在不安全的网络上直接传送密钥,而是通过一系列的数据交换,通信双方最终计算出共享密钥。其核心技术就是DH(Diffie Hellman)交换技术。   
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9707
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
IPSEC原理及组成
热门推荐
LDF-Dicky的博客
09-20 4万+
1.IPsec介绍 IPsecurity是一套完整的加密系统   IPsec-VPN提供三个特性: authentication  每一个IP包的认证 data integrity  验证数据完整性,保证在传输过程中没有被人为改动 confidentiality(私密性)数据包的加密   2.IPsec组成 IPsec协议集包括三个协议: ①internet keyexch
IPsec典型配置举例 -采用IKE方式建立保护IPv4 报文的IPsec隧道
解不开的未知数
07-13 3952
1-28 采用IKE方式建立保护IPv4 报文的IPsec隧道 1. 组网需求 在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下: • • 封装形式为隧道模式。 • • 安全协议采用 ESP 协议。 • • 加密算法采用 1...
IPSEC的DPD
weixin_33795093的博客
08-09 2083
IKE的DPD 和KEEPALIVER 机制主要是用来判断对方是否存在的,如果发送的KEEPALIVER没法收到回复的话,则立即认为对方不存在了此时如果用在一个VRRP组时,组在切换的过程中,主设备忽然DOWN了,那KEEPALIVER会导致业务中断,如果使用的是DPD,它会在KEEPALVER没收到时,再发送DPD请求,发送3次请求都没收到的话则认为对方...
SWAN之ikev2协议dpd-hold配置测试
redwingz的博客
11-05 1380
本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,重新建立连接的功能。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/dpd-hold/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值