- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-IPsec FAQ
本章节下载: 04-IPsec FAQ (132.38 KB)
IPsec配置AH协议不支持NAT穿越。
穿越NAT后,报文的IP地址肯定是要改变的,由于AH对整个IP都进行验证,NAT网关改变IP头的地址后,会造成接收端AH验证失败。因此AH和AH-ESP协议不支持NAT穿越。而ESP只对IP负载进行验证,因而不存在这个问题。
IPsec策略中的ACL不支持应用对象组的方式。
IPsec策略的对端地址支持使用域名方式,此域名为DNS解析的域名。
IKE keychain配置中的hostname是FQDN的意思,并不是指DNS域名。
目前IPsec SA的时间生命周期最短为180s,流量生命周期最小为2560千字节。若配置IPsec生命周期为最短,大量流量情况下触发多隧道建立,SA建立后很快就由于生命周期超时重协商,这样增加了设备CPU占用率,在大流量下IKE协商报文还有可能丢失,导致协商失败。因此建议不要将IPsec的生命周期配置太短。
按照配置顺序匹配。
配置了ESP的情况下,必须配置加密算法,不能只配置认证算法。
· 如果发起方第一个配置的transform-set带有PFS,则响应方带有相应的PFS,可以正常协商。
· 如果发起方第一个配置的transform-set不带有PFS,则响应方必须不带有PFS才能正常协商,而不会去和发起方其它带有PFS的transform-set进行协商。
发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。
ACL的规则里面不需要带vpn-instance配置。
作为发起方,如果没有配置proposal,就会将所有proposal列表发给对方,让响应方选择;如果配置了proposal,只发所配置的proposal。
双方的NAT Keepalive报文间隔一定要小于NAT设备的会话老化时间,若NAT Keepalive发送的时间间隔小于中间NAT设备会话老化时间,NAT会话会先老化,后续数据流量过来后会由于没有会话或者新建的会话端口号和两端记录的不一致而失败。
IPsec抗重放是使用滑动窗口机制来检查报文是否是重复报文或者是已经过期的报文,当乱序严重时,收到的报文落到了接收方抗重放滑动窗口的左侧时会被丢弃。因此乱序严重的环境中,建议关闭抗重放功能,或者将抗重放窗口设置为最大。
国密算法有加密算法:SM1-CBC-128,SM4-CBC;认证算法:SM3;国密证书认证使用SM2-DE数字信封。
不需要。只有SM1-CBC-128加密算法需要硬件国密卡,其他算法软件都可以实现。
目前我们支持如下硬件国密卡:
适配F1000系列的硬件国密卡:NSQM1F1KGMB、NSQM1F1KGMC、NSQM1F1KGM0。
适配F5000系列的硬件国密卡:NSQM1F5KGMC、NSQM1F5KGM0。
适配F50X0系列/F50X0-D系列的硬件国密卡:NSQM1HTIMGMG2A、NSQM1HTIMGMG2B。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
