原文作者: Mansur
原文链接: http://nbma.info/ipsec-pptp-l2tp/
写的有点乱
动态map和静态map
使用场景:hub固定IP,另一端没有固定IP。适用于思科和其他厂商对接。两端都是思科可以使用EZVPN
peer端直接普通的静态map配置
hub端使用动态map
1 2 3 | crypto dynamic-map DY-MAP 10 set transform-set TRANS crypto map STATIC-MAP 10000 ipsec-isakmp dynamic DY-MAP |
ikev2的SVTI
待补充
NAT穿越问题
ike 1-2包同时判断对方是否支持NAT-T
3-4包发送NAT-D 第三个包hash自己的源目IP将值发送给B,然后对端收到后用收到的源目IP进行hash,如果不一致则后续5-6等包全都启用udp4500封装。
远程拨号VPN
1,vpdn:
pptp, l2tp over ipsec
2,EzVPN
3,SSL VPN
pptp
协商过程:TCP 1723
PPP封装内层,外层是GRE,本身并不加密
IPSEC只能用来加密IP流量,而PPTP还支持非IP,如IPX等
在ASA上需要inspect pptp
解决穿越问题
l2tp over ipsec
L2TP:UDP1701
PPP封装内层,外层是UDP,本身并不加密
配合ipsec之后在PPP之外加上esp,对esp内部加密
平常不需要使用以下技术,直接使用GRE over IPSec或者SVTI直接跑动态即可
RRI反向路由注入
多个ipsec vpn出口前往同一个peer是用来解决路由问题。
根据active sa产生前往对端通讯店的静态路由 ,下一条是对端加密点IP。
本地设备可以通过tag配置该路由,重分布进动态路由即可。
1 2 3 | crypto map XXX-MAP reverse route reverse route tag 10 |
DPD死亡对等体检测
ikev1默认没有启用keepalive机制(类似路由协议hello),所有如果对端peer down,本地无法得知,需要等待ipsec sa超时(1小时)后才发现。而DPD就是通过心跳检测对端peer是否active
两种模式periodic(周期) 和 on-demand(按需,默认)
periodic:周期发送,占用加解密资源,检测快。5次失败之后自动清除sa
1 2 | crypto isakmp keepalive <time> periodic clear crypto ipsec sa |
on-demand:发送加密包出去,一定时间内没有解密包回来,这时候DPD会发送询问。如果一直有加解密,或者没有任何加解密被发送,那么不会发送查询。节约资源,但是可能存在一端sa被清,一端sa还存在
1 2 | crypto isakmp keepalive <time> clear crypto ipsec sa |
评论