今天发现了一个有趣的问题,有个WSG的客户用ipsec组网,服务端和客户端组网时有两个网段需要互通,但是只能有一个网段可以组网成功。检查后发现原来用来ike v1的野蛮模式。IPsec的ike v1和ike v2有很多的差别,如下:
IKEv1和IKEv2的主要差异对比
| 特性 | IKEv1 | IKEv2 |
|---|---|---|
| 交换过程 | 6条消息(主模式)或3条消息(野蛮模式) | 4条消息 |
| 身份保护 | 主模式提供,野蛮模式不提供 | 始终提供身份保护 |
| 验证灵活性 | 相对固定 | 支持混合验证(如服务端证书+客户端EAP) |
| 重验证 | 需要重新建立整个IKE_SA | 支持会话恢复和重验证 |
| DoS保护 | 较弱 | 更好的Cookie机制 |
而且,IKEv1对多网段的支持是不如IKEv2的,相对IKEv1,IKEv2有着:
更好的多子网支持 - 原生支持多个子网协商
更强的安全性 - 更现代的加密算法
更好的稳定性 - 自动重连、移动性支持
简化配置 - 更清晰的配置语法
把两端的验证方式都改成IKEV2后,问题得到了解决。
