Cato IPsec गाइड: IKEv1 बनाम IKEv2

IPsec साइट सर्वोत्तम प्रथाएं - IKEv2 में माइग्रेट करना

सामान्य तौर पर, Cato आपको IPsec IKEv2 साइट्स को सर्वोत्तम प्रथाओं के रूप में उपयोग करने की सिफारिश करता है। नीचे IKEv2 के कुछ सुधार सूचीबद्ध हैं:

  1. IKEv2 VPN टनल सेटअप करने के लिए स्वैप किए जाने वाले संदेशों की संख्या को कम करके दक्षता बढ़ाता है। टनल्स को कम बैंडविड्थ के साथ तेजी से सेटअप किया जाता है।

  2. IKEv2 अधिक विश्वसनीय है। जब टनल डाउन हो जाता है तो उसे पहचानने के लिए IKEv2 में बिल्ट-इन जीवंतता जांच है।

  3. IKEv2 DoS हमलों से सुरक्षा प्रदान करता है। IKEv1 की तुलना में, IKEv2 प्रतिपादक को महत्वपूर्ण प्रसंस्करण नहीं करनी होती जब तक कि प्रारंभकर्ता यह साबित न कर दे कि वह विज्ञापित IP पते पर संदेश प्राप्त कर सकता है।

  4. NAT-T बिल्ट-इन है। जब VPN एन्डपॉइंट NAT करने वाले राउटर के पीछे होता है, तब NAT-T या NAT ट्रैवर्सल की आवश्यकता होती है। IPsec टनल्स डेटा को एन्कैप्सुलेटिंग सिक्योरिटी पे लोड (ESP) का उपयोग करके भेजते हैं जो NAT के साथ संगत नहीं है। इसलिए, NAT-T का उपयोग UDP में ESP पैकेट्स को एन्कैप्सलेट करने के लिए किया जाता है, जिन्हें फिर NAT के माध्यम से रूट किया जा सकता है।

IPsec IKEv2 साइट्स का उपयोग करने के लाभों के बारे में अधिक जानकारी के लिए, RFC 4306 देखें।

IKEv2 और IKEv1 के बीच समानताएं

नीचे IKEv1 और IKEv2 टनल्स के strongSwan कॉन्फ़िगरेशन की तुलना दी गई है। strongSwan कई ऑपरेटिंग सिस्टम्स के लिए एक ओपन-सोर्स IPsec समाधान है, जिसमें Windows और macOS शामिल हैं।

IKEv1

IKEv2

 
conn cato-vpn
        auto=जोड़ें
        compress=no
        प्रकार=टनल
        keyexchange=ikev1
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=साफ़ करें
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret
 
conn cato-vpn
        auto=जोड़ें
        compress=no
        प्रकार=टनल
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=साफ़ करें
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret

एकमात्र अंतर एक संख्या है। Changing the keyexchange value from ikev1 to ikev2 is enough to convert strongSwan from IKEv1 to IKEv2.

नोट: आप IKEv1 और IKEv2 साइट्स दोनों के लिए IPSec साझा रहस्य (PSK) को 64 वर्णों तक सेट कर सकते हैं।

Cato प्रबंधन एप्लिकेशन में IKEv1 से IKEv2 में स्विच करना

IKEv1 से IKEv2 टनल में माइग्रेट करने के लिए आवश्यक चरण नीचे सूचीबद्ध हैं।

एक साइट को IKEv1 से IKEv2 के टनल में माइग्रेट करने के लिए:

  1. नेटवर्क > साइट्स स्क्रीन पर, उस साइट का चयन करें जिसे आप IKEv1 से IKEv2 में बदलना चाहते हैं।

  2. नेटवर्क > साइट्स > [साइट का नाम] > साइट कॉन्फ़िगरेशन > सामान्य स्क्रीन पर, कनेक्शन प्रकार ड्रॉपडाउन में, IPsec IKEv2 का चयन करें। जब आप कनेक्शन प्रकार बदलते हैं तो साइट की मूल रेंज और अन्य नेटवर्क खो जाते हैं।

    360002841277-image-0.png

  3. नेटवर्क > साइट्स > [साइट का नाम] > साइट कॉन्फ़िगरेशन > नेटवर्क्स स्क्रीन पर, मूल रेंज और अन्य दूरस्थ नेटवर्क दर्ज करें। ये रिमोट ट्रैफ़िक चयनकर्ता हैं।

  4. नेटवर्क > साइट्स > [साइट का नाम] > साइट कॉन्फ़िगरेशन > IPsec स्क्रीन पर, प्राथमिक अनुभाग के तहत, Cato IP (निर्गम) चुनें और दूरस्थ VPN गेटवे का साइट IP दर्ज करें।

    360002920918-image-1.png

  5. प्राथमिक पीएसके के तहत पासवर्ड फील्ड में पीएसके दर्ज करें।

    360002841297-image-2.png

  6. रूटिंग अनुभाग का विस्तार करें, नेटवर्क रेंज के तहत साइट के लिए रूटिंग विकल्प जोड़ें। ये सभी नेटवर्क पहले से ही Cato से जुड़े अन्य साइट्स या Cato VPN रेंज में कॉन्फ़िगर किए गए होने चाहिए।

    360002841317-image-3.png

  7. Cato द्वारा कनेक्शन आरंभ करें चेकबॉक्स का चयन करें ताकि Cato VPN कनेक्शन को आरंभ कर सके। यह कॉन्फ़िगरेशन वैकल्पिक है लेकिन अनुशंसित है क्योंकि दूरस्थ VPN गेटवे को कनेक्शन को आरंभ करने के लिए कॉन्फ़िगर नहीं किया जा सकता है।

  8. (Optional) Expand the Init Message Parameters section, and configure the settings. As most IPsec IKEv2-supporting solutions implement automatic negotiation of the following Init and Auth parameters, Cato recommends setting them to Automatic unless specifically instructed to by your firewall vendor.

    आपने देखा होगा कि प्रारंभ और प्रमाणन संदेश पैरामीटर लगभग IKEv1 में चरण 1 और चरण 2 पैरामीटर के समान हैं, लेकिन IKEv2 में PRF और अखंडता एल्गोरिथम कॉन्फ़िगरेशन विकल्प दोनों हैं। अधिकांश विक्रेता अलग PRF और अखंडता एल्गोरिदम का समर्थन नहीं करते हैं, इसलिए यदि संदेह हो, तो उन्हें स्वचालित पर सेट करें या सुनिश्चित करें कि वे एक ही मान पर सेट हैं।

  9. सहेजें पर क्लिक करें।

IKEv2: अंतिम सीमा

इन दिनों, वास्तव में 1999 की तरह पार्टी करने का एक ही कारण है, या सटीक रूप से कहें तो 1998 में, जब IKEv1 को पहली बार IETF द्वारा परिभाषित किया गया था: अगर VPN कनेक्शन का कम से कम एक हिस्सा केवल IKEv1 का समर्थन करने वाले एक लीगेसी डिवाइस पर समाप्त हो रहा है। प्रमुख क्लाउड प्रदाता (AWS, GCP, Azure, Alibaba Cloud) IKEv2 का समर्थन करते हैं। तो, जब तक आप एक पुराने वीपीएन एंडपॉइंट को कनेक्ट नहीं कर रहे हैं, वीपीएन टनल सेट करते समय आपका पहला विकल्प IKEv2 होना चाहिए।

क्या यह लेख उपयोगी था?

3 में से 3 के लिए उपयोगी रहा

0 टिप्पणियां