-
IPsec
VPN
故障排除手册
Version1.0
迈普技术服务中心
2008-05-01
一、迈普公司
VPN
产品简介
迈普公司
VPN
产品型号还是比较多,
包括
IP
sec VPN
产品型号:
VPN3030
、
老
VPN3020
、
VPN3020B
、
VPN3010
、
VPN3010E
、
VP
N3005B
、
VPN3005C
、<
/p>
VPN3005C-104
、
VRC
以及
防火墙产品型号:
FW520
、
FW505
1.1
根据系统平台区分
:
VPN3020
、
FW520
:
基于
linux
操作系统采用
X86
工控机硬件平台。
VPN3020
支持
SSP02
硬件加密。
FW520
不支持
SSP02
算法,
< br>VPN3020
和
FW520
不
支持迈普
CMS
颁发证书并通
过预共享
方式建立
VPN
。
< br>FW505
:基于
linux
操
作系统采用
800
路由器硬件平台,
F
W505
不支持
SSP02
算法。
VPN3020B
:基于
vxworks
操作系统采用
3740
路由器硬件平台。支持硬件通用加密卡。
VPN30
05B
:
基于
vxworks
操作系统采用
800
路由器硬件平台。
不支持硬件通用加密卡。
VPN3010/3
010E
:基于
vxworks
操作系
统采用定制的
269
×硬件平台。
VP
N3010E
支持
硬件通用加密卡。
VPN3005C
:基于
vxwork
s
操作系统采用
2600CD
路由器硬
件平台。不支持硬件通用加
密卡。
V
PN3005C
-
104
:基于
vxworks
操作。
VRC
:纯软件
IPsec
。支持
WINDOWS
平台。
1.2
产品形态
(
只介绍目
前在售产品
)
MPSec VPN3020B<
/p>
具有
4
个多功能插槽
(
MIM
)
,
标配
2
个千兆光
/
电自选以太口,
最多
支持
6<
/p>
个以太接口,密文吞吐量达到
200Mbps
,支持双电源冗余、业务板卡热插拔。
MPSec
VPN3010E
标配
4
< br>个百兆以太口,最多支持
4
个以太接口,密文吞吐量达到
50Mbps
。
MPSec
VPN3005C
标配<
/p>
2
个百兆以太口,最多支持
3
个以太接口,密文吞吐量达到
10Mbps
,并提供
V
oI
P
插槽可插入
V
oIP
语音模块实现
V
oIP
与
VPN
的融合。
MPSec VPN3005C-104
标配
< br>5
个百兆以太口,密文吞吐量达到
2Mbps
。
二、
IPsec
配置简要说明
VPN
的配置可以通过两种方式来配置,一是手工配置,另外一种是通过网管方式获取
配置
。
网管方式相对比较简单,
在网管服务器上添加节点参数和相关
资源后,
只需要在
VPN
设备上添加简
单的初始化参数后即可获取配置。
2.1
网管方式
VPN
的配置
?
配置上网参数
该处只需要保证该设备能够连接上
公网,
同时需要指定一个默认路由,
该路由指向外
出
IP
或接口。
?
配置上点参数
请进入
shell
< br>配置界面,进入
config
模式,然后输入
(config)#crypto init-config
分别配置
user-name
,
password
,以及中心
VPN
的地址
server
address
,完成后的结果如
下
crypto init-config
server address 202.21.1.1
user-name test
password
3ee86377cf3de377?
exit
?
获取上点配置
在
enable
模式下,输入
start crypto init-config
如果返回成功的话,该
VPN
就已经获取了
必需的初始配置,以对应安全用户的身份加
入了
PM3
的管理范围了,最后保存一下配置就可以了。
网管方式的配置只需要上述三步即可。
2.2
手工配置
< br>关键配置:
预共享密钥或证书、
保护数据流、
对端地址、
IKE
和
IP
sec
使用的加密算法。
具体命令和软件版本有关。
预共享密钥配置:
crypto ike key
<
password
>
{any|address
<
A.B.C.D
>|identity
<
idstring
>}
当指定
identiey
关键字时,常常是用于积极模式协商(主模式的情
况下
ID
是被加密的,没
有办法找到对
应的密钥,就无法协商。
)
,可以支持通配符。例如:
crypto ike key maipu identity
*.
该命令是说,对所有
ID
后缀是
的协商是用密钥为
maipu
。
证书的配置是用:配置证书服务器(地址、
证书类型)
、下载证书服务器证书、下载设
备证书。
cry ca identity
<
CAstring
>
//
配置证书服务器信息
ca type
{ctca|mpcms|windows}
//
配置证书服
务器类型。
ctca
:上海电信
CA<
/p>
。
enrollment
{address <
string
>|url
<
string
>}
//
配置证书服务器地址
//
下载
CA
服务器证书
crypto ca authenticate
crypto ca enroll
{1024|2048|512}
//
下载设备证书。
1024/2048/512
指
RSA
密钥长度。
driver_name
:指设备在证
书服务器上注册的用户名。
CMS
必须先注册,
windows
证书服务器不需要。
是用证书或是用预共享密钥方式都主要是在
IKE
协商
阶段用来作身份验证。和后期的
IPsec
数据加密无关。
保护数据流:
crypto policy
<
string
>
flow
tunnel
bypass
Bypass
属性使该策略在没有对应的
SA
存在时允许报文以明文方式转发。
主要解决当保护数
据流包括内网口地址,访问内网口的问题。在
IPsec
作
为备份线路中也需要使用。
隧道属性:
crypto
tunnel
<
string
>
peer {any
|address
A.B.C.D
|hostname
}
local
{address
A.B.C.D
|interface
}
set
sec-level {basic|high|medium}
我们将常用的密码算
法、
密钥安全属性做了总结,
形成三个安全等级的配置。
在隧道属
性配置中可以直接使用这三个等级。
crypto security level : basic
ike proposal :
g1-des-sha1
g1-des-md5
ipsec proposal
:
esp-nopfs-des-sha1
esp-nopfs-des-md5
crypto security level : medium
ike proposal :
g2-3des-sha1
g2-3des-md5
g2-aes128-sha1
g2-aes128-md5
ipsec
proposal
:
esp-g2-3des-sha1
esp-g2-3des-md5
esp-g2-aes128-sha1
esp-g2-aes128-md5
crypto
security level : high
ike proposal :
g5-3des-sha256
g5-aes256-sha256
ipsec proposal :
esp-g5-3des-sha256
esp-g5-aes256-sha256
在使用中要主意
这三个安全等级并没有使用
AH
协议。
VRC
配置:主要配置预共享密钥或证书、对端
Ipsec
网关地址、对端保护网络。
三、
IPsec
VPN
常见问题处理
本章重
点介绍
VPN
的故障排除的基本思路,
以及分析故障原因和解决问题的常用方的基
本思路,以及分析故障原因和解决问题的常用
方法。
本章内容:
?
IPsec
VPN
故障排除基本思路
?
IPsec
VPN
常见故障处理
?
IPsec VPN
SA
状态信息说明
?
调试命令参数解释
3.1 IPsec
VPN
故障排除基本思路
当
IPsec
VPN
出现问题时,最直接的表现就是无法通过
IPsec V
PN
访问远端内部网络。
按照具体的情况又分为:
IPsec
隧道无法建立、
IPsec
隧道建立但无法访问远端内部网络和
IPsec
隧道
时断时连。通过
IPsec
的
debu
g
信息检测问题是比较快的,但需要使用者对
debug
信息比较熟悉。所以这里介绍针对上面三种情况的一般检测方法。
1
.
IPsec VPN
隧道无法建立
检测方法:
使用
show cry
ike proposal
和
sh cry
ipsec proposal
命令查
看<
/p>
ike
和
ipsec
的策略两端是否相同。使用
sh
cry
policy
查看
两端数据流是
否匹配。
2
.
IPs
ec
隧道建立但无法访问远端内部网络
检测方法:
sh ip esp
查看是
否有
in
和
out
的数据;
查看访问列表是否
deny
了受保护
的数据流。
3
.
IPsec
隧道时断时连
检测方法:查看物理线路是否时通时断;查看是否有网点冲突。
3.2
IPsec VPN
常见故障处理
故障一:
IPsec
VPN
隧道无法建立
可能的原因
1
.两端
VPN
设备无法互
通
判断方法和解决方案
1
.
从一端
VPN
设备
ping
< br>另外一端,看是否能否
ping
通。
如果不通,首先检查网络连接情况。
2
< br>.
两端
VPN
可以
ping
通,
1
.
检查
VPN
是否配置
ACL
或者前端是否有防火墙,
禁止了
但是相互收不到
IKE
协商
报文
IKE
协
商
报
文
,
需
要
在
ACL
或
者
防
火
< br>墙
上
开
放
UDP500/4500
端口;
2
.
检查发
起方
VPN
的内网口是否
UP
,特别是
3005C-104
以
SW
接口作为内网口,
LAN
口上没有接
PC
,
SW
口无法
UP
,将导致扩展
pi
ng
不通对端。
3
< br>.两端
VPN
采用证书认
证方式
,但是没有证书或
者证书无效;采用预共享
密钥方式认证没有配
置
密码
4
.
两端
IKE
和
IPsec
策
略不一致
1
.
通过
show
cry
ike
sa
查看
IKE
隧道状态没有任何信息;
2
.
打开
debug cry ike
normal
,提示
%IKE-ERR: can't
initiate,
no
available
authentication
material
(cert/psk)
;
3
.
sh
crypto ca
certificates
,查看证书是否有效。
1.
如
果<
/p>
采
用
主
模
式
,
查
看
IKE
状
态
停
止
在
STATE_MAIN_I1
,
采
用
积极
< br>模
式
,
IKE
< br>状
态
停
止在
STATE_AGGR_I1
,说明可能是两端策略不一致,通过
< br>show cry ike proposal
和
show cry ipsec
proposal
查看两端策略是否相同;
2.
打
开
debug
cry
ike
normal
,
提
示
ignori
ng
notification payload, type
NO_PROPOSAL_CHOSEN
。
5
.两端
VPN
设备配置了<
/p>
ID
不是
IP
地
址作为身份
标识,而是域名或者其
他,但是采用
IKE
协商采
用主模式
1
.
查看
IKE
KEY
< br>配置了
identity
,但是
tunnel
配置中配
置了
set
mode main
;
2
.
查看<
/p>
IKE
状态停止在
STATE_MAIN
_I1
状态。
-
-
-
-
-
-
-
-
-
上一篇:成语学习(五字成语及解释)
下一篇:似水流年的句_似水流年的意思