第6章--安全VPN及拨号业务故障排除(V2.1).pptVIP

1 IPSec和IKE故障排除 IPSec和IKE故障排除综述 display、debugging命令介绍 IPSec和IKE故障案例分析 IPSec和IKE故障排除综述 IPSec简介 IKE简介 IKE全称：Internet Key Exchange IKE用于IPSec安全联盟及密钥的自动化管理，定时为IPSec协商密钥，创建、删除安全联盟等 IKE采用两个阶段的ISAKMP： 协商认证通信信道，为第二阶段的通信提供安全保证，即建立IKE SA。 使用IKE SA 协商建立IPSec SA，用于IPSec通信。 IPSec 与IKE IPSec和IKE配置的一般步骤 手工方式下IPSec功能和性能的常见问题 手工方式下IPSec功能和性能的常见问题（续） 协商方式下IPSec和IKE功能和性能常见问题 协商方式下IPSec和IKE功能和性能常见问题 IPSec和IKE配置过程的注意事项 IPSec和IKE配置过程的注意事项 确定如何保护数据时的注意事项 安全协议选择 加密算法选择 验证算法选择 定义安全策略时的注意事项 选择恰当的ACL 选择恰当的安全提议 正确配置实施安全策略的端点 IKE的配置 IKE Proposal的全局性（对整个路由器有效） 缺省IKE Proposal的应用 IPSec和IKE配置过程的注意事项 应用所定义的安全策略 应用接口的选择 确保所有数据流出口都应用安全策略 确保对端也配置了安全策略 IPSec和IKE的其它配置 IKE定时器参数（interval和timeout）的匹配 display、debugging命令介绍 IPSec和IKE故障案例分析 （一） IPSec和IKE故障案例分析 （一） 原因分析 RouterB上的调试信息表明已经收到从RouterA发出的IPSec报文，但是找不到SPI为12345的SA。察看RouterB的安全策略的定义，入方向ESP的SPI定义为54321，这就是找不到SPI的原因。 处理过程 将RouterB上的入方向ESP的SPI改为12345即可 [RouterB]ipsec policy policy1 10 manual [RouterB-ipsec-policy-policy1-10] sa spi inbound esp 12345 IPSec和IKE故障案例分析（二） IPSec和IKE故障案例分析（二） IPSec和IKE故障案例分析（三） IPSec和IKE故障案例分析（三） IPSec和IKE故障案例分析（四） IPSec和IKE故障案例分析（四） 原因分析 调试信息表明，发现安全联盟没有建立。 RouterA有需要保护的数据外出，触发了IKE协商安全联盟，但从对端收到了一条INVALID_PAYLOAD_TYPE通知消息，在RouterB上显示收到的载荷中有一个类型非法。检查配置发现共享密钥不同。由于共享密钥不同，造成双方产生的用于通信的加密密钥和验证密钥不同，而不能解释对方的数据。 处理过程 将RouterB上的共享密钥改为与RouterA一样，便可通信。 [RouterB -ike-peer-peer] pre-shared-key abcde IPSec和IKE故障案例分析（五） IPSec和IKE故障案例分析（五） IPSec和IKE故障案例分析（六） 原因分析 由于ACL配置的数据流为允许所有数据包通过 从PCA到PCC和从PCA到PCD的数据流都被匹配到从PCA到PCB的数据流中 处理过程 把RouterA上的允许所有数据包通过改为拒绝。 [RouterA-acl-3001] rule deny ip source any destination any [RouterA-acl-3002] rule deny ip source any destination any [RouterA-acl-3003] rule deny ip source any destination any 包过滤防火墙故障排除综述 包过滤防火墙知识简介 包过滤防火墙知识简介 包过滤防火墙故障排除的一般步骤 display、debugging命令介绍 包过滤防火墙故障案例分析（一） 包过滤防火墙故障案例分析（一） 包过滤防火墙故障案例分析（二） 包过滤防火墙故障案例分析（二） 原因分析 开始可以ping通，一段时间之后不通 关闭防火墙后能够ping通 说明与防火墙有关，检查发现动态路由协议的数据包也被禁止 处理过程 从原因分析可以得出，修改ACL规则，允许RIP协议数据包通过即可 [RTA-acl-adv-3002] rule permit udp source any destination any L2TP