2011年4月29日 星期五

Site to Site VPN 測試結果與心得

這幾天為了測試與廈門建立 Site to Site VPN   搞到焦頭爛額

因為台灣這邊用的是 Cisco ISR 3825 Router 而大陸廈門那邊則用 Juniper SSG 320m

怎麼弄就是起不來 最後就得到一串錯誤訊息  "decrypted packet failed SA identity check"

廈門那邊就一付老大心態   擺明他那邊沒問題      也沒時間查   也不給我看設定檔

我只能悶著頭測試   搞了老半天也沒有一個明確的解答     所以就是..........無解

最後 我借了台 cisco isr 2811 來和 3825 對接測試   果然是  "自己人比較好說話"

Cisco 3825 老大說的話    2811怎能敢不聽呢    所以vpn就建起來囉

證明我的設定沒有錯    再來就換證明Cisco 與 Juniper 不同兩家人說的話    彼此聽不聽得懂囉

跟廠商借一台  juniper netscreen 208  並順帶借了工程師來設定

雙方互測半天     最後還是  cisco 公說公有理  juniper 婆說婆有理   的局面

最後只好使出大絕招   用廠商的 juniper  208 與廈門互連   果然又是一個自家人好說話的局面

一連就通了    這不禁使我想罵人  以前廠商推銷設備都說   現在什時代了

通訊協定都標準化了    不同廠牌怎麼可能會無法溝通勒    真他媽的ooxx 屁話

keyword:

IPSec : 這只是一個 IETF 制定的開放標準,主要用來保護 internet 溝通時的資料安全,主要功能為認證與加密。

IPSec包含兩個部分,一個是IKE (Internet Key Exchange),主要負責金鑰的交換,另外一部份就是負責封包的加解密。

IKE的協商過程分為兩個階段,第一階段建立SA(安全協議),負責溝通雙方的安全機制,第二階段就是建立IPSec連線。


isakmp   (Internet Security Association and Key Management Protocol)  網路安全協議與秘鑰管理

IKE 第一階段 利用 isakmp 達成SA協議與秘鑰管理

crypto isakmp enable    先將協定啟動
crypto isakmp policy 100                // 建立一個 isakmp的 policy
hash md5                                          // 以MD5的做認證
encr des                                            // 以DES作加密
authentication pre-share                 // 認證方式為  pre-share key
group 2                                             // Group 2
lifetime 28800
exit


crypto isakmp key  key-value  address ip-address             //指定 pre-share key


crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac  //定義第二階段的加解密方式
mode tunnel  //  可以選擇 tunnel 或是 transport 模式
exit

指定 Access-List  確認哪些要經過VPN網路
ip access-list extend  Xmsertec
permit ip 192.168.102.0 0.0.0.255   172.17.0.0 0.0.255.255    //兩端的LAN
exit

第二階段
crypto map map_name 1 ipsec-isakmp
 set security-association life seconds 3600
 set pfs group2
 set peer  ip-address          // Remote site 的 ip address
 set transform-set ESP-DES-SHA
 match address Xmsertec


最後要記得將 crypto map 綁到 interface上面   應該就大功告成啦

另外還有一些相關驗證測試的 command

show crypto isakmp sa  // 看第一階段是否建立
show crypto ipsec sa  // 看第二階段是否完成
show crypto engine connection active  //查看目前的IPSec連線

1 則留言:

匿名 提到...

抱歉...

我想可能您在設定上有些可以調整的地方

就小弟的經驗而言

Cisco與juniper或是Fortinet的建立

site to site VPN都不會有問題

並且您找去的工程師...可能也需要再確認一下

倘若您需要協助...可以在網上留言

我們再來協助您

一個經驗稍微多些的路人留