第6章--安全VPN及拨号业务故障排除.pptVIP

1 第6章 安全VPN及拨号业务故障排除 ISSUE 1.0 学习目标 掌握VPN相关技术的故障排除方法，包括L2TP， GRE，IPSec 和IKE； 掌握防火墙故障排除方法和流程； 掌握DCC故障排除的流程，并理解教材所列举的案例分析。 课程内容 IPSec和IKE故障排除 IPSec和IKE故障排除综述 Display、debugging命令介绍 IPSec和IKE故障案例分析 IPSec和IKE故障排除综述 IPSec简介 IKE简介 IKE全称：Internet Key Exchange IKE用于IPSec安全联盟及密钥的自动化管理，定时为IPSec协商密钥，创建、删除安全联盟等 IKE采用两个阶段的ISAKMP： 协商认证通信信道，为第二阶段的通信提供安全保证。即建立IKE SA 使用IKE SA 协商建立IPSec SA，用于IPSec通信。 IPSec 与IKE IPSec和IKE配置的一般步骤 手工方式下IPSec功能和性能的常见问题 手工方式下IPSec功能和性能的常见问题（续） 协商方式下IPSec和IKE功能和性能常见问题 协商方式下IPSec和IKE功能和性能常见问题（续） IPSec和IKE配置过程的注意事项 IPSec和IKE配置过程的注意事项（续） 确定如何保护数据时的注意事项 安全协议选择 加密算法选择 验证算法选择 定义安全策略时的注意事项 选择恰当的数据流规则 选择恰当的安全提议 正确配置实施安全策略的端点 IKE的配置 IKE Proposal的全局性（对整个路由器有效） 缺省IKE Proposal的应用 IPSec和IKE配置过程的注意事项（续） 应用所定义的安全策略 应用接口的选择 确保所有数据流出口都应用安全策略 确保对端也配置了安全策略 IPSec和IKE的其它配置 IKE定时器参数（interval和timeout）的匹配 Display、debugging命令介绍 IPSec和IKE故障案例分析 （一） IPSec和IKE故障案例分析 （一） 原因分析 RouterB上的调试信息表明已经收到从RouterA发出的IPSec报文，但是找不到SPI为12345的SA。察看RouterB的安全策略的定义，入方向ESP的SPI定义为54321，这就是找不到SPI的原因。 处理过程 将RouterB上的入方向ESP的SPI改为12345即可 [RouterB]ipsec policy policy1 10 manual [RouterB-ipsec-policy-policy1-10] sa inbound esp spi 12345 IPSec和IKE故障案例分析（二） IPSec和IKE故障案例分析（二） IPSec和IKE故障案例分析（三） IPSec和IKE故障案例分析（三） IPSec和IKE故障案例分析（四） IPSec和IKE故障案例分析（四） 原因分析 调试信息表明，发现安全联盟没有建立。 并且RouterA有需要保护的数据外出，触发了IKE协商安全联盟，但从对端收到了一条INVALID_PAYLOAD_TYPE通知消息。在RouterB上显示收到的载荷中有一个类型非法。检查配置发现共享密钥不同。由于共享密钥不同，造成双方产生的用于通信的加密密钥和验证密钥不同，而不能解释对方的数据。 处理过程 将RouterB上的共享密钥改为与RouterA一样，便可通信。 [RouterB]ike pre-shared-key abcde remote IPSec和IKE故障案例分析（五） IPSec和IKE故障案例分析 IPSec和IKE故障案例分析（六） IPSec和IKE故障案例分析（六） 原因分析 由于ACL配置的数据流允许所有不匹配的数据包通过 从PC_A到PC_C和从PC_A到PC_D的数据流都被匹配到从PC_A到PC_B的数据流中 处理过程 把RouterA上的permit ip any any 改成 deny ip any any 即可。 [RouterA-acl-101]rule deny ip source any destination any [RouterA-acl-102]rule deny ip source any destination any [RouterA-acl-103]rule deny ip source any destination any 课程内容 包过滤防火墙故障排除综述 包过滤防火墙知识简介 包过滤防火墙知识简介 包过滤防火墙故障排除的一般步骤 Display、debugging命令介绍 包过滤防火墙故障案例分析（一） 包过滤防火墙故障案例分析（一） 包过滤防火墙故障案例分析（二） 包过滤