دليل Cato IPsec: IKEv1 مقابل IKEv2

أفضل الممارسات لموقع IPsec - الانتقال إلى IKEv2

بشكل عام، توصي Cato باستخدام مواقع IPsec IKEv2 كأفضل ممارسة. بعض التحسينات في IKEv2 مذكورة أدناه:

  1. يزيد IKEv2 الكفاءة عن طريق تقليل عدد الرسائل التي يجب تبادلها لإنشاء نفق VPN. تُنشأ الأنفاق بشكل أسرع وباستخدام نطاق تردد أقل.

  2. IKEv2 أكثر موثوقية. هناك اختبار حياة مدمج في IKEv2 لاكتشاف متى يتعطل النفق.

  3. IKEv2 يحمي ضد هجمات DoS. على عكس IKEv1، لا يحتاج المستجيب في IKEv2 إلى إجراء معالجة كبيرة حتى يثبت المُبادر قدرته على استقبال الرسائل على عنوان IP المعلن.

  4. NAT-T مدمج. يتطلب NAT-T، أو اجتياز NAT، عندما يكون نقطة نهاية VPN خلف موجّه يقوم بإجراء NAT. تُرسل أنفاق IPsec البيانات باستخدام حمولة الأمان المغلفة (ESP) التي لا تتوافق مع NAT. لذلك، يتم استخدام NAT-T لتغليف حزم ESP في UDP والتي يمكن بعد ذلك توجيهها عبر NAT.

لمزيد من المعلومات حول فوائد استخدام مواقع IPsec IKEv2، راجع RFC 4306.

أوجه التشابه بين IKEv2 و IKEv1

فيما يلي مقارنة بين تكوينات strongSwan لأنفاق IKEv1 و IKEv2. strongSwan هو حل IPsec مفتوح المصدر لأنظمة تشغيل متعددة، بما في ذلك Windows وmacOS.

IKEv1

IKEv2

conn cato-vpn
        auto=add
        compress=no
        type=tunnel
        keyexchange=ikev1
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret
conn cato-vpn
        auto=add
        compress=no
        type=tunnel
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret

الفرق الوحيد هو رقم واحد. تغيير قيمة التبادل المفتاح من ikev1 إلى ikev2 يكفي لتحويل strongSwan من IKEv1 إلى IKEv2.

ملاحظة: يمكنك إعداد السر المشترك IPSec (PSK) حتى 64 حرفاً لكل من مواقع IKEv1 و IKEv2.

التحول من IKEv1 إلى IKEv2 في تطبيق إدارة Cato

الخطوات اللازمة للانتقال من نفق IKEv1 إلى IKEv2 مذكورة أدناه.

لنقل موقع من نفق IKEv1 إلى IKEv2:

  1. في شاشة الشبكة > مواقع، حدد الموقع الذي تريد التحويل من IKEv1 إلى IKEv2.

  2. في شاشة الشبكة > المواقع > [اسم الموقع] > تكوين الموقع > عام، في قائمة نوع الاتصال المنسدلة، اختر IPsec IKEv2. يفقد الموقع النطاق الأصلي والشبكات الأخرى عند تغيير نوع الاتصال.

    360002841277-image-0.png
  3. في شاشة الشبكة > المواقع > [اسم الموقع] > تكوين الموقع > الشبكات، أدخل النطاق الأصلي وأي شبكات بعيدة أخرى. هذه هي محددات حركة المرور البعيدة.

  4. في شاشة الشبكة > المواقع > [اسم الموقع] > تكوين الموقع > IPsec، تحت القسم الأولي، حدد Cato IP (Egress) وأدخل عنوان الموقع لبوابة VPN البعيدة.

    360002920918-image-1.png
  5. أدخل PSK في حقل كلمة المرور تحت PSK الأساسي.

    360002841297-image-2.png
  6. قم بتوسيع قسم التوجيه، أضف خيار التوجيه للموقع تحت نطاقات الشبكة. يجب أن تكون هذه كلها شبكات تم تكوينها بالفعل في مواقع أخرى متصلة بـCato أو نطاق VPN الخاص بـCato.

    360002841317-image-3.png
  7. حدد المربع بدء الاتصال بواسطة Cato لتمكين Cato من بدء اتصال VPN. هذا الإعداد اختياري ولكن يوصى به لأنه قد لا يتم تكوين بوابة VPN البعيدة لبدء الاتصال.

  8. (اختياري) قم بتوسيع قسم معلمات الرسالة المبدئية وقم بتكوين الإعدادات. نظرًا لأن معظم حلول دعم IPsec IKEv2 تنفذ التفاوض التلقائي للمعلمات المبدائية والتوثيق التالية، توصي Cato بتعيينها إلى التلقائي ما لم يُنصح بخلاف ذلك من قبل بائع جدار الحماية الخاص بك.

    قد تلاحظ أن معلمات الرسالة المبدائية والتوثيق هي تقريبا متطابقة مع معلمات المرحلة 1 والمرحلة 2 في IKEv1، ولكن هناك خيار تكوين كل من خوارزمية PRF والخوارزمية المشتركة في IKEv2. لا تدعم معظم البائعين خوارزميات PRF وخوارزميات السلامة المختلفة، لذا في حالة عدم التأكد، قم بتعيينها إلى التلقائي أو تأكد من تعيينها على نفس القيمة.

  9. انقر فوق حفظ.

IKEv2: الحدود النهائية

في هذه الأيام، هناك سبب واحد فقط للاحتفال وكأنه عام 1999، أو بشكل أدق 1998، عندما تم تعريف IKEv1 لأول مرة بواسطة IETF: إذا كانت إحدى جانبي اتصال VPN تنتهي على جهاز قديم يدعم فقط IKEv1. مزودي السحابة الرئيسيين (AWS، GCP، Azure، Alibaba Cloud) يدعمون IKEv2. لذلك، ما لم تكن تتصل بنقطة نهاية VPN قديمة، ينبغي أن يكون IKEv2 خيارك الأول عند إعداد أنفاق VPN.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات