بشكل عام، توصي Cato باستخدام مواقع IPsec IKEv2 كأفضل ممارسة. بعض التحسينات في IKEv2 مذكورة أدناه:
-
يزيد IKEv2 الكفاءة عن طريق تقليل عدد الرسائل التي يجب تبادلها لإنشاء نفق VPN. تُنشأ الأنفاق بشكل أسرع وباستخدام نطاق تردد أقل.
-
IKEv2 أكثر موثوقية. هناك اختبار حياة مدمج في IKEv2 لاكتشاف متى يتعطل النفق.
-
IKEv2 يحمي ضد هجمات DoS. على عكس IKEv1، لا يحتاج المستجيب في IKEv2 إلى إجراء معالجة كبيرة حتى يثبت المُبادر قدرته على استقبال الرسائل على عنوان IP المعلن.
-
NAT-T مدمج. يتطلب NAT-T، أو اجتياز NAT، عندما يكون نقطة نهاية VPN خلف موجّه يقوم بإجراء NAT. تُرسل أنفاق IPsec البيانات باستخدام حمولة الأمان المغلفة (ESP) التي لا تتوافق مع NAT. لذلك، يتم استخدام NAT-T لتغليف حزم ESP في UDP والتي يمكن بعد ذلك توجيهها عبر NAT.
لمزيد من المعلومات حول فوائد استخدام مواقع IPsec IKEv2، راجع RFC 4306.
فيما يلي مقارنة بين تكوينات strongSwan لأنفاق IKEv1 و IKEv2. strongSwan هو حل IPsec مفتوح المصدر لأنظمة تشغيل متعددة، بما في ذلك Windows وmacOS.
|
IKEv1 |
IKEv2 |
conn cato-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev1
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024
esp=aes256-sha1
dpdaction=clear
dpddelay=300s
rekey=no
left=172.16.1.62
leftid=54.183.180.107
leftsubnet=172.16.1.0/24
right=45.62.177.115
rightid=45.62.177.115
rightsubnet=172.17.3.0/24
authby=secret
|
conn cato-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024
esp=aes256-sha1
dpdaction=clear
dpddelay=300s
rekey=no
left=172.16.1.62
leftid=54.183.180.107
leftsubnet=172.16.1.0/24
right=45.62.177.115
rightid=45.62.177.115
rightsubnet=172.17.3.0/24
authby=secret
|
الفرق الوحيد هو رقم واحد. تغيير قيمة التبادل المفتاح من ikev1 إلى ikev2 يكفي لتحويل strongSwan من IKEv1 إلى IKEv2.
ملاحظة: يمكنك إعداد السر المشترك IPSec (PSK) حتى 64 حرفاً لكل من مواقع IKEv1 و IKEv2.
الخطوات اللازمة للانتقال من نفق IKEv1 إلى IKEv2 مذكورة أدناه.
لنقل موقع من نفق IKEv1 إلى IKEv2:
-
في شاشة الشبكة > مواقع، حدد الموقع الذي تريد التحويل من IKEv1 إلى IKEv2.
-
في شاشة الشبكة > المواقع > [اسم الموقع] > تكوين الموقع > عام، في قائمة نوع الاتصال المنسدلة، اختر IPsec IKEv2. يفقد الموقع النطاق الأصلي والشبكات الأخرى عند تغيير نوع الاتصال.
-
في شاشة الشبكة > المواقع > [اسم الموقع] > تكوين الموقع > الشبكات، أدخل النطاق الأصلي وأي شبكات بعيدة أخرى. هذه هي محددات حركة المرور البعيدة.
-
في شاشة الشبكة > المواقع > [اسم الموقع] > تكوين الموقع > IPsec، تحت القسم الأولي، حدد Cato IP (Egress) وأدخل عنوان الموقع لبوابة VPN البعيدة.
-
أدخل PSK في حقل كلمة المرور تحت PSK الأساسي.
-
قم بتوسيع قسم التوجيه، أضف خيار التوجيه للموقع تحت نطاقات الشبكة. يجب أن تكون هذه كلها شبكات تم تكوينها بالفعل في مواقع أخرى متصلة بـCato أو نطاق VPN الخاص بـCato.
-
حدد المربع بدء الاتصال بواسطة Cato لتمكين Cato من بدء اتصال VPN. هذا الإعداد اختياري ولكن يوصى به لأنه قد لا يتم تكوين بوابة VPN البعيدة لبدء الاتصال.
-
(اختياري) قم بتوسيع قسم معلمات الرسالة المبدئية وقم بتكوين الإعدادات. نظرًا لأن معظم حلول دعم IPsec IKEv2 تنفذ التفاوض التلقائي للمعلمات المبدائية والتوثيق التالية، توصي Cato بتعيينها إلى التلقائي ما لم يُنصح بخلاف ذلك من قبل بائع جدار الحماية الخاص بك.
قد تلاحظ أن معلمات الرسالة المبدائية والتوثيق هي تقريبا متطابقة مع معلمات المرحلة 1 والمرحلة 2 في IKEv1، ولكن هناك خيار تكوين كل من خوارزمية PRF والخوارزمية المشتركة في IKEv2. لا تدعم معظم البائعين خوارزميات PRF وخوارزميات السلامة المختلفة، لذا في حالة عدم التأكد، قم بتعيينها إلى التلقائي أو تأكد من تعيينها على نفس القيمة.
-
انقر فوق حفظ.
في هذه الأيام، هناك سبب واحد فقط للاحتفال وكأنه عام 1999، أو بشكل أدق 1998، عندما تم تعريف IKEv1 لأول مرة بواسطة IETF: إذا كانت إحدى جانبي اتصال VPN تنتهي على جهاز قديم يدعم فقط IKEv1. مزودي السحابة الرئيسيين (AWS، GCP، Azure، Alibaba Cloud) يدعمون IKEv2. لذلك، ما لم تكن تتصل بنقطة نهاية VPN قديمة، ينبغي أن يكون IKEv2 خيارك الأول عند إعداد أنفاق VPN.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.