ipsec在主模式下使用预共享密钥时的问题

发布时间:  2012-10-26 浏览次数:  230 下载次数:  0
问题描述
两端ipsec连接时,都使用默认的第一阶段协商模式是主模式,认证方式使用预共享密钥。其中分支端是使用自动协商ip地址,总部侧使用站点名的认证对端的方式,ipsec通道无法建立。测试,如果将分支端改为固定ip地址的方式,总部端用ip地址方式认证对端,则可以正常建立ipsec通道。
告警信息
处理过程
在现网环境中,经常会遇到分支点较多,并且分支点是自动协商ip地址的情况,这时候建立ipsec如果选择主模式+预共享密钥的方式,则需要设置总部端以安全策略模板的方式,来响应对方,此时候认证对端方式就不是必选项,将可以自动响应对端发来的配置。如果分支点较多,且希望使总部对每个站点以不同参数协商ike,则可以选用野蛮模式,在这个模式下,以3个消息进行第一阶段(不同于主模式需要6个),则可以使用站点名来认证对方。
根因
经过确认,ipsec在第一阶段建立ike sa时候,在采用主模式的情况下,将用6个消息交换,如果使用预共享密钥认证,在前4个阶段交换双方ip地址,而在5-6阶段交换双方站点名。假设我们采用站点名方式认证,在第四个消息交换时,就需要引入站点名做参数,而如前面所提到,在5-6阶段才会交换站点名到对端,这就造成ike协商时参数缺失而失败。
建议与总结
在企业网络大量使用ipsec的环境中,很多分支都是自动协商ip地址,造成总部如果想认证不同分支,不能用ip地址认证对端,而用站点名认证时,用默认配置参数又协商失败。这时候需要在总部端使用策略模板+野蛮模式的组合来解决这个问题。

END