今天發(fā)現(xiàn)了一個(gè)有趣的問題,有個(gè)WSG的客戶用ipsec組網(wǎng),服務(wù)端和客戶端組網(wǎng)時(shí)有兩個(gè)網(wǎng)段需要互通,但是只能有一個(gè)網(wǎng)段可以組網(wǎng)成功。檢查后發(fā)現(xiàn)原來用來ike v1的野蠻模式。IPsec的ike v1和ike v2有很多的差別,如下:
IKEv1和IKEv2的主要差異對比
| 特性 | IKEv1 | IKEv2 |
|---|---|---|
| 交換過程 | 6條消息(主模式)或3條消息(野蠻模式) | 4條消息 |
| 身份保護(hù) | 主模式提供,野蠻模式不提供 | 始終提供身份保護(hù) |
| 驗(yàn)證靈活性 | 相對固定 | 支持混合驗(yàn)證(如服務(wù)端證書+客戶端EAP) |
| 重驗(yàn)證 | 需要重新建立整個(gè)IKE_SA | 支持會話恢復(fù)和重驗(yàn)證 |
| DoS保護(hù) | 較弱 | 更好的Cookie機(jī)制 |
而且,IKEv1對多網(wǎng)段的支持是不如IKEv2的,相對IKEv1,IKEv2有著:
更好的多子網(wǎng)支持 - 原生支持多個(gè)子網(wǎng)協(xié)商
更強(qiáng)的安全性 - 更現(xiàn)代的加密算法
更好的穩(wěn)定性 - 自動重連、移動性支持
簡化配置 - 更清晰的配置語法
把兩端的驗(yàn)證方式都改成IKEV2后,問題得到了解決。
