教程篇(7.4) 09. IPsec & 网络安全支持工程师 ❀ FORTINET认证解决方案专家

 在本课中，你将了解IPsec。

 完成本课后，你应该能够实现上图显示的目标。

　　通过展示对IPsec的熟练理解，你将能够管理、监控、诊断、调试和故障排除IPsec。

 在本节中，你将学习用于监控IPsec VPN状态和统计数据的CLI命令。

 diagnose vpn tunnel命令提供关闭、激活或刷新vpn隧道的选项。

 diagnose vpn tunnel list命令用来显示当前所有激活隧道的SA信息。

　　diagnose vpn tunnel list name <tunnel name>指定隧道的SA信息。

 get vpn ipsec tunnel details命令用来查看主Ipsec的详细信息。

　　如果需要查看每条隧道的详细信息，使用diagnose vpn ipsec tunnel detail命令。

　　输出显示流量计数器；协商快速模式选择器；以及协商加密、身份验证和密钥。

 diagnose vpn ike gateway list命令还提供了隧道的详细信息。

　　diagnose vpn ike gateway clear命令用来关闭阶段1。使用此命令时要小心，因为它具有全局效果。这意味着在不指定阶段1名称的情况下运行它将导致清除所有vdom的所有阶段1。

 get vpn ipsec stats tunnel命令用来统计当前所有激活的vpn的全局总计数器。

　　上图显示的另外两个命令提供了关于VPN的概要信息。

 在本节中，你将学习用于调试第1阶段和第2阶段协商的CLI命令。

 IKE守护进程处理FortiGate上的所有IPsec连接。熟悉可用的过滤器选项很重要。你可以使用这些选项来过滤IKE实时调试的输出，以便只显示与你相关的信息。

　　最常见的过滤选项是rem-addr4，你可以使用它通过远程对等的IP地址过滤输出。此外，支持多个地址。当远程对等IP地址未知时，按名称过滤是有帮助的。

  设置过滤器后，使用上图显示的命令启用IKE实时调试。

  现在，你将在主模式协商期间查看IKE实时调试的输出。主模式需要交换六个数据包。实时调试显示第一个数据包（第一个主模式消息）何时到达。然后，调试显示第1阶段的协商设置。在FortiGate识别要使用的VPN配置（带有VPN的名称）后，会生成一条消息。

  接下来，输出显示远程对等信息。第二个和第三个主模式消息到达。身份验证成功并匹配预共享密钥后，将生成一条最终消息，表明第1阶段已结束。

 上图显示了第1阶段攻击模式的实时调试输出。它显示交换的三个攻击性模式数据包和提案。

  IKE实时调试显示，在第1阶段后，交换扩展身份验证（XAuth）数据包。在上图中，你可以看到CFG_REQUEST数据包。你还可以看到CFG_REPLY，显示XAuth用户和组名。

  XAuth交换完成后，远程站点通过IKE模式配置继续请求和接收IP地址设置。

　　输出显示CFG_REQUEST和CFG_REPLY数据包。

  上图展示了第2阶段的协商。

　　调试显示了来自本地网关的第2阶段提案，以及来自远程网关的第2阶段提案。在这种情况下，两个提案（本地和远程）都是匹配的。

 接下来，输出显示协商的第2阶段设置。最后的消息确认第2阶段已经完成。

  在本节中，你将学习如何在硬件卸载上配置和监控IPsec加密和解密。

  在某些FortiGate型号上，你可以将IPsec流量的加密和解密卸载到硬件上。支持的算法取决于卸载加密和解密的设备上的处理器型号和类型。

　　默认情况下，支持的算法启用了硬件卸载。如有必要，上图显示了可用于禁用每个隧道硬件卸载的命令。

  所有IPsec SA都有一个npu_flag字段，指示卸载状态。在IPsec流量的情况下，FortiGate会话表也包含该字段。

　　首先，当第2阶段出现时，IPsec SA被创建并加载到内核中。只要没有穿越隧道的流量，SA就不会被复制到网络处理单元（NPU），npu_flag显示00。当IPsec卸载被禁用时，该字段的值也保持00。

　　其次，如果到达的第一个IPsec数据包是可以卸载的出站数据包，则出站SA将被复制到NPU，npu_flag更改为01。然而，如果第一个IPsec数据包是入站并且可以卸载，入站SA将被复制到NPU，npu_flag将更改为02。

　　在两个SA被复制到NPU后，npu_flag变为03。

　　npu_flag字段中的值20表示由于不受支持的密码或基于散列的消息身份验证代码（HMAC）算法，硬件卸载不可用。

 此命令显示由软件（CPU）和FortiGate上每种类型的处理器单元加密和解密的数据包数量。

  在本节中，你将学习IPsec故障排除步骤和命令。

  在隔离IPsec问题时，了解IPsec连接可以描述为多步过程是有用的：

　　1. 感兴趣流触发了VPN协商。当流量必须通过IPsec隧道（加密和封装）才能到达远程网络时，流量被称为有意义的。

　　2. 第1阶段来了。

　　3. 如果需要XAuth，则进行一方身份验证。

　　4. 如果一方需要IP设置，另一方通过IKE模式配置发送所需的设置。

　　5. 一个或多个第2阶段上升。每个阶段2都要协商两个IPsec SA。

　　6. 流量穿过隧道。

　　如果你有IPsec问题，你应该确定问题发生在以下哪个步骤中。

 现在假设，当第1阶段出现时，第2阶段也出现，但由于某些原因，流量没有穿过隧道。

　　如果VPN正常，但流量无法穿过隧道，你应该使用调试流程。如果可能的话，在两个网关上运行它。这将让你知道本地网关是否正在丢弃数据包或没有通过隧道路由数据包，或者远程网关是否正在丢弃数据包。

　　上图显示了穿越IPsec隧道的流量调试流程的示例输出。输出显示以下内容：

　　● 数据包到达

　　● 防火墙策略允许的数据包

　　● 数据包进入隧道

　　● 正在加密和发送的数据包

　　如果流量由于路由配置错误而没有穿过隧道，调试流程的输出会显示它。调试流程还显示流量是否下降以及原因（例如，当数据包与快速模式选择器不匹配时）。

  如果你需要捕获IPsec流量，请记住，IP协议和UDP端口号取决于网络地址转换遍历（NAT-T）和网络地址转换（NAT）的使用。

　　如果中间没有运行NAT的FortiGate，IKE流量使用UDP端口500，封装安全有效负载（ESP）流量使用IP协议50。上图显示了嗅探器命令必须使用的两个嗅探器过滤器来捕获每个流量协议。

　　如果启用了NAT-T，并且中间有一个正在运行NAT的FortiGate，sniffer命令必须使用不同的过滤器。在这种情况下，IKE流量使用UDP 500端口，但在隧道协商期间切换到UDP端口4500。此外，ESP流量被封装在UDP 4500通道中。

　　请注意，端口500和端口4500分别是IKE和IKE NAT-T的默认UDP端口号。你可以使用命令config system settings和选项set ike-port <value>来配置这些端口。

 上图总结了最常见的IPsec问题和解决方案。

　　如果隧道没有出现，请使用IKE实时调试。在这种情况下，通常会出现错误信息。

　　当隧道不稳定时，你通常会看到DPD数据包正在丢失，这表明问题可能出在互联网服务提供商（ISP）方面。

　　如果隧道已通，但流量没有通过，请使用调试流程。其中一个对等端可能正在丢弃数据包或错误地路由流量。另一种可能性是数据包与快速模式选择器不匹配，因此FortiGate会丢弃数据包。

 上图展示了你在本课中涵盖的目标。

　　通过掌握本课中涵盖的目标，你学会了如何管理、监控、诊断、调试和故障排除IPsec。

---