Cato IPsec 指南:IKEv1 vs IKEv2

IPsec 站点最佳实践 - 迁移到 IKEv2

通常,Cato 建议您将 IPsec IKEv2 站点用作最佳实践。 以下列出了 IKEv2 的一些改进:

  1. 通过减少设置 VPN 隧道所需交换的消息数量,IKEv2 提高了效率。 隧道的设置速度更快且消耗更少带宽。

  2. IKEv2 更可靠。 IKEv2 内置活动性检查,以检测隧道何时掉线。

  3. IKEv2 可以抵御 DoS 攻击。 与 IKEv1 不同,IKEv2 的响应者无需进行大量处理,直到发起者证明其可以在公告的 IP 地址接收消息。

  4. NAT-T 是内置的。 当 VPN 端点位于执行 NAT 的路由器后面时,就需要 NAT-T 或 NAT 穿越。 IPsec 隧道使用封装安全负载 (ESP) 发送数据,而 ESP 与 NAT 不兼容。 因此,NAT-T 用于将 ESP 数据包封装在 UDP 中,然后可以通过 NAT 路由。

有关使用 IPsec IKEv2 站点的更多信息,请参阅RFC 4306

IKEv2 和 IKEv1 的相似之处

以下是 IKEv1 和 IKEv2 隧道的 strongSwan 配置比较。 strongSwan 是一款开源的 IPsec 解决方案,适用于多个操作系统,包括 Windows 和 macOS。

IKEv1

IKEv2

conn cato-vpn
        auto=add
        compress=no
        type=tunnel
        keyexchange=ikev1
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret
conn cato-vpn
        auto=add
        compress=no
        type=tunnel
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret

唯一的区别是一个数字。 将 keyexchange 值从 ikev1 更改为 ikev2,就足够强制 strongSwan 从 IKEv1 转为 IKEv2。

注意: 您可以为 IKEv1 和 IKEv2 站点设置最长达 64 个字符的 IPSec 共享密钥 (PSK)。

在 Cato 管理应用程序中从 IKEv1 切换到 IKEv2

以下列出了从 IKEv1 转为 IKEv2 隧道所需的步骤。

要将站点从 IKEv1 隧道迁移到 IKEv2:

  1. 网络 > 站点 屏幕上,选择您想要从 IKEv1 切换到 IKEv2 的站点。

  2. 网络 > 站点 > [站点名称] > 站点配置 > 常规 屏幕上,在 连接类型 下拉列表中,选择 IPsec IKEv2。 当您更改 连接类型 时,站点的 原生范围 和其他网络将丢失。

    360002841277-image-0.png
  3. 网络 > 站点 > [站点名称] > 站点配置 > 网络 屏幕上,输入 原生范围 和任何其他远程网络。 这些是远程流量选择器。

  4. 网络 > 站点 > [站点名称] > 站点配置 > IPsec 屏幕上,在 主要 部分,选择 Cato IP(出口) 并输入远程 VPN 网关的 站点 IP

    360002920918-image-1.png
  5. 主要 PSK 下的 密码 字段中输入 PSK。

    360002841297-image-2.png
  6. 展开 路由 部分,为站点添加 网络范围 下的路由选项。 这些应该是已连接到 Cato 或 Cato VPN 范围的其他站点上已经配置的所有网络。

    360002841317-image-3.png
  7. 选择 由 Cato 发起连接 复选框,以便 Cato 发起 VPN 连接。 此配置是可选的,但推荐使用,因为远程 VPN 网关可能未配置为发起连接。

  8. (可选)展开 初始化消息参数 部分,并配置设置。 由于大多数支持 IPsec IKEv2 的解决方案实现了以下初始化和认证参数的自动协商,Cato 建议将其设置为自动,除非您的防火墙供应商特别指示。

    您可能已经注意到,初始化和认证消息参数几乎与 IKEv1 的阶段1和阶段2参数相同,但 IKEv2 中同时提供 PRF 和完整性算法配置选项。 大多数供应商不支持不同的 PRF 和完整性算法,所以如有疑问,请将其设置为自动或确保它们配置为相同的值。

  9. 点击 保存

IKEv2:最后的前沿

如今,只有一个原因可以让您像 1999 年甚至更准确地说是 1998 年那样庆祝,那时 IETF 首次定义了 IKEv1:即如果 VPN 连接的一方至少是终止于仅支持 IKEv1 的传统设备上。 主要云提供商(AWS、GCP、Azure、阿里云)都支持 IKEv2。 因此,除非您要连接到较旧的 VPN 端点,否则设置 VPN 隧道时应该优先选择 IKEv2。

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论