取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

【专家面对面】安全VPN 常见问题解答

9613
查看次数
40
有帮助
24
评论
Yanli Sun
Community Manager
活动第二周获奖用户如下:

gengchunlin
恭喜以上用户将获得由Junling Yao老师翻译的《CCNP安全VPN 642-648认证考试指南》(第2版)一本
请在收到获奖通知邮件10日内回复我们,提供联系方式领奖。

活动第一周获奖用户如下:
suzhouxiaoniu
--------------------------------------------------------------------------------------------------------------
本期【专家面对面】活动,我们邀请到了 思科技术支持专家、《CCNP安全VPN 642-648认证考试指南》(第2版)译者Junling Yao,为大家解答安全VPN常见问题。


活动主题:安全VPN 常见问题解答
主要包括:1. vpn类型及优势
2. 防火墙的数据转发路径
3. ASA Failover
4. 防火墙的故障排错思路
活动时间: 2016年04月29日-05月13日
问答专家: Junling Yao
Junling Yao, Cisco Technical Support Engineer
职称:技术支持专家
认证:CCIE Routing Switch/Security/Service Provider/Voice
解决方案:Security, Wireless
产品:ASA,ACS,ISE,IPS,WLC,AP,PI,MSE
客户领域:FSI, OTT, Enterprise,SP

活动奖品:由Junling Yao老师翻译的CCNP安全VPN 642-648认证考试指南(2),共2本

参与方式:在本帖下跟帖提出您与本次活动主题相关的问题,我们的专家会予以解答。
每周我们还会请Yao老师抽取一名幸运用户,赠送以上奖品。
如果专家的解答对您有帮助的话,记得给出星级评分哦。:handshake
24 评论
CSCO12370587
Beginner
Dear Yao:
IPsec vpn,端到端vpn,点到点vpn,已经SSL vpn ,是按什么标准说的,每次看书的时候,都会看到五花八门的词,能不能给系统的介绍一下?
suzhouxiaoniu
Advocate
请问专家,思科产品配置VPN,比如IPSEC VPN,是否兼容其他厂商呢,比如一端是思科产品,一端是华为产品,是否可以对接,或者需要注意哪些问题?
Thank you very much for your time !
Junling Yao
Cisco Employee
suzhouxiaoniu 发表于 2016-5-3 12:20 back.gif
请问专家,思科产品配置VPN,比如IPSEC VPN,是否兼容其他厂商呢,比如一端是思科产品,一端是华为产品,是 ...

思科产品(如路由器和asa)可以和许多厂商的产品协同工作配置vpn, 这当中常见的就有华为的产品。ipsec 由一些底层协议共同组成, 它们共同提供了参数协商,连接建立, 隧道维护,数据连接和数据拆除这些整体的操作。
IPsec除了提供完整性,加密, 验证和抗回放特性外,它还使用了三种协议提供密钥交换:
ipsec第一阶段: 使用IKEv1 或者IKEv2, 这个阶段双方协商参数(完整性和加密算法,验证方法)以建立一个安全和被认证的隧道。它的一个重要的任务就是保护阶段2的协商信息。常见的验证方法有预共享密钥和数字证书验证,这个阶段会生成IKE SA.
ipsec第二阶段: 主要协议有ESP和AH。ESP主要实现数据的完整性,加密,验证和抗回放功能, 而AH除了加密功能外,可以提供其它的和ESP一样的功能, 这个阶段产生ipsec sa, 用来保护最终的用户数据流。
在和其它厂商的产品协同配置时, 可以参看厂商的命令指南,命令指南中对应的每个阶段的实施指令和说明。
在配置过程中, 要注意协商参数的匹配。如第一阶段如果采用预共享密钥,那么双方的配置都需支持这种验证方法,否则第一阶段协商失败, 必不会进行到第二阶段。
同样第二阶段, 双方必须支持相同的加密和hash算法, 否则第二阶段不能成功。
可以使用命令 show crypto isakmp sa 和show crypto ipsec sa在思科一端查看第一阶段和第二阶段是否建立, 而对应的可以使用debug crypto isakmp 和 debug crypto ipsec去查看双方的具体协商过程以查明问题出在什么地方以修改配置错误。华为方面也有类似思科的命令来查看相关的信息。
suzhouxiaoniu
Advocate
感谢juyao专家的详细解答:handshake
Junling Yao
Cisco Employee
CSCO12370587 发表于 2016-5-3 09:50 back.gif
Dear Yao:
IPsec vpn,端到端vpn,点到点vpn,已经SSL vpn ,是按什么标准说的,每次看书的时候,都会看到 ...

IPsec VPN实际上是一个协议组, 它可以提供完整性,加密, 验证和抗回放特性,它主要使用了三种协议提供密钥交换:
ipsec第一阶段: 使用IKEv1 或者IKEv2, 这个阶段双方协商参数(完整性和加密算法,验证方法)以建立一个安全和被认证的隧道。它的一个重要的任务就是保护阶段2的协商信息。常见的验证方法有预共享密钥和数字证书验证,这个阶段会生成IKE SA.
ipsec第二阶段: 主要协议有ESP和AH。ESP主要实现数据的完整性,加密,验证和抗回放功能, 而AH除了加密功能外,可以提供其它的和ESP一样的功能, 这个阶段产生ipsec sa, 用来保护最终的用户数据流。
站点到站点vpn是 ipsec vpn常见的vpn实施方案:
站点到站点vpn(site-to-site vpn,端到端vpn): 采用隧道模式保护站点之间的私有流量。例如:
A1 subnet-----A(public ip address)-----(internet)----------B (public ip address)--------B1 subnet
A1 网络访问B1 网络时, 从A 发往 internet 时, 有两个头, 最外层的头的原地址是A, 目标地址是B, 最里面的头的原地址是A1.目标地址是B1, 通过internet路由到B后,B会拆掉外层头, 看到里面的头, 并通过自己的内网路由把这个包路由到B1子网的主机。
A1到A之间是明文的数据, A到B之间是加密的数据, B到B1之间是明文的数据。
IPsec vpn 工作在三层。
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
这个协议工作在第二层。通过该协议,远程用户能够通过 Microsoft Windows NT工作站、Windows xp 、 Windows 2000 和windows2003、windows7操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地ISP,通过 Internet 安全链接到公司网络。
PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许在pptp客户端 和 服务器 之间传输用户数据时提供低层拥塞控制和流控制以避免不必要的重发和缓冲区溢出。
SSL VPN作用于OSI模型的应用层和传输层之间,由于TCP的有序性,重新排序和可靠的传输能力,它成为SSL协议的传输层的选择。
SSL数据包内是Record协议,这个协议将准备传输的低级消息打包, 例如对封装在里面的消息执行分片,重组,压缩,加密等。
SSL通过封装在Record协议内的消息在客户端(用户的web浏览器或者思科的anyconnect客户端)和服务器之间建立一个隧道。
它需要两个阶段,握手是第一个阶段:
ClientHello: 客户端发给服务器,它是第一个被发送的消息。
ServerHello:服务器发送给客户端,做为对ClientHello的回应。
Certificate: 服务器发送给客户端,客户端使用它来验证服务器并且获取服务器公钥的拷贝。
ServerHelloDone:服务器发送给客户端的消息, 告诉客户端服务器已经发送消息完毕。
ClientKeyExchange: 客户端发送给服务器,含有生成的主密钥的信息。
ChangeCipherSpec: 客户端发给服务器,告知服务器从现在开始所有的消息都会被加密。
Finish:客户端告知服务器,在隧道建立阶段,客户端已成功地完成自己的任务。、
ChangeCipherSpec: 服务器发给客户端,告知客户端从现在开始所有的消息都会被加密。
Finish:服务器发给客户端,在隧道建立阶段,服务器已成功地完成自己的任务。、
SSL VPN的第二阶段就是在客户端和服务器之间传输用户数据, 这个数据已被握手阶段协商好的密钥加密。

13nash
Collaborator
这个是在线讲座吗?
luodaheng1
Beginner
你好!
目前我们部署了CISCO IPSEC VPN,网关ASA5545X,远程Cisco 1900路由器,使用内网的微软的CA证书做身份验证,我的问题:
1.大规模的远程站点?如何集中管理(更新,调销或监控)远端路由器的证书?
2.如何集中监控或统一下发VPN配置的相关策略。
目前参考了CISCO的文档,大多是使用IOS CA来管理证书的
ilay
Collaborator
juyao 发表于 2016-5-4 13:37 back.gif
思科产品(如路由器和asa)可以和许多厂商的产品协同工作配置vpn, 这当中常见的就有华为的产品。ipsec 由 ...

我有一点不明白,asa不支持与其他厂商设备建立对等体是真的还是仅仅是说说而已?我之前在asa的config guide里面看到这个:
”The ASA uses IPsec for LAN-to-LAN VPN connections and provides the option of using IPsec for
client-to-LAN VPN connections. In IPsec terminology, a peer is a remote-access client or another secure
gateway. For both connection types, the ASA supports only Cisco peers. Because we adhere to VPN
industry standards, ASAs can work with other vendors' peers; however, we do not support them.“
我有点乱了。。
wangfangjie
Beginner
专家你好!
能不能针对DMVPN做下介绍,它的部署环境以及操作实施注意事项呢
Yanli Sun
Community Manager
13nash 发表于 2016-5-6 11:47 back.gif
这个是在线讲座吗?

是在线问答哦,您如果有相关问题,活动期间在这里跟帖提出,我们的专家会为您解答 :)
Junling Yao
Cisco Employee
gengchunlin 发表于 2016-5-6 13:05 back.gif
我有一点不明白,asa不支持与其他厂商设备建立对等体是真的还是仅仅是说说而已?我之前在asa的config gu ...

生产网络中不乏思科产品和其它厂商建立ipsec L2L的例子 。思科技术工程师也会对客户开上来的与其它厂商互联出现问题的案例进行故障排错, 有些是配置问题, 如参数不匹配,通过配置修改就解决了, 而有些是bug,通过代码修改或者软件升级也都解决了。
能否将你所描述的上述语句的网络链接发过来?
Junling Yao
Cisco Employee
luodaheng 发表于 2016-5-6 11:53 back.gif
你好!
目前我们部署了CISCO IPSEC VPN,网关ASA5545X,远程Cisco 1900路由器,使用内网的微软的CA证书做身 ...

证书的集中管理是由CA服务器负责处理,目前主要有三种方式申请证书:
1: 搭建自己的CA服务器, 它负责颁发证书并管理证书。
2: 将产品自身配置成为CA服务器, 由它负责向分支机构颁发证书并管理证书。
3: 向专门的CA机构申请证书并由它维护证书。
CA会维护证书吊销列表, 将过期的或者无效的证书放到这个列表中。被颁发的证书中含有 CRL分发点,它指定URL来下载CRL(证书吊销列表),客户端可以检查当前的证书是否在列表内。CRL包含有“下一次的更新”的日期,在该日期到来之前,客户端会直接使用已被缓存起来的CRL,等到下一次的更新日期到来之后才会再次下载CRL。
Junling Yao
Cisco Employee
luodaheng 发表于 2016-5-6 11:53 back.gif
你好!
目前我们部署了CISCO IPSEC VPN,网关ASA5545X,远程Cisco 1900路由器,使用内网的微软的CA证书做身 ...

对于第二个问题集中监控或者下发VPN配置的相关策略, 建议采用GETVPN(组加密传输VPN) 技术。它基于Trusted Group Members(信任组成员)的概念, 组内的成员使用相同的安全策略。组内成员预先协商IPsec sa, 可以实现任意到任意的连接和即时连接(传统的IPsec是点对点的,IPsec sa需要通过兴趣流触发,不能实现即时连接和任意到任意的连接)。
GETVPN组内至少有一个Key Server, 它的主要任务是认证组成员, 并接受它们的注册并给注册的组成员分发SA. 一但组成员注册成功, 就会拥有一个相同的sa, 这个sa被用于加解密数据。由于组内所有的成员拥有相同的sa, 因此组内任意一个成员发送的加密的数据, 都能被其它成员解密, 因此实现了任意到任意的连接。
GETVPN的sa不是被兴趣流触发而产生, 而是组成员注册到key server并由key server所分发,在实际流量到来之前已经生成了sa, 这样就有效地消除了网络时延而实现了即时通讯。
GETVPN由GCKS,组成员和GDOI 三部分组成。

GCKS: 即key server, 创建和维护密钥的服务器, 它会向组成员发送两种类型的密钥,加密实际用户流的密钥和加密更新密钥的密钥(在密钥过期前, key server 会提前发送更新密钥)。
组成员:向 key server 提交组的id (Group Id), 向key server 申请注册, 一旦注册成功, 将从key server获取IPsec sa, 并使用这个sa和组内的其他成员通讯。
GDOI (Group Domain of Interpretation) 协议是组成员和key server之间的通讯协议, 以实现安全的组内通讯。

ilay
Collaborator
juyao 发表于 2016-5-9 09:09 back.gif
生产网络中不乏思科产品和其它厂商建立ipsec L2L的例子 。思科技术工程师也会对客户开上来的与其它厂商互 ...

地址:http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/vpn_ike.html
IPsec Overview

The ASA uses IPsec for LAN-to-LAN VPN connections and provides the option of using IPsec for client-to-LAN VPN connections. In IPsec terminology, a peer is a remote-access client or another secure gateway. For both connection types, the ASA supports only Cisco peers. Because we adhere to VPN industry standards, ASAs can work with other vendors' peers; however, we do not support them.
仔细想了想,上面的那句话,“we do not support them” 是asa不支持这些对等体,还是cisco对与其他厂商建立peer不做支持呢?
好凌乱。。:L
Junling Yao
Cisco Employee
13nash 发表于 2016-5-6 11:47 back.gif
这个是在线讲座吗?

本次活动是在线问答, 内容涵盖有:
1. vpn类型及优势
2. 防火墙的数据转发路径
3. ASA Failover
4. 防火墙的故障排错思路
创建
认可您的同行
Content for Community-Ad