13.DMVPN
摘要:老的ipsec vpn技术在高扩展上的问题 1.两次加解密 2.两次占用中心带宽 1.ipsec vpn配置过多 2.每个客户端需要维护扩多的ipsec sa 3.每个客户需要固定ip地址dmvpn是一个高扩展性的vpn 1.mgre 多点gre,类似于fr,fr我们需要fr map,一个ip到dl
阅读全文
12.EZVPN.
摘要:easy vpn gw: aaa new-model aaa authentication login remote local aaa authorization network remote local username cisco password 0 cisco crypto isakmp
阅读全文
11.b Remote VPN IPSEC Profile
摘要:ipsec profile 实际配置 预先配置 GW用loopback 0 模拟inside 网络,e1/0 是互联网接口(202.100.1.2), 所有设备都 只有直联路由。 Step1:GW PAT 转换 GW: Ip access -list ex nat Permit ip host 1.
阅读全文
11.a Remote VPN ISAKMP Profile
摘要:remote vpn server端 1.第一阶段 a.(策略) pre-share(不是单纯的key,group+key) dh group 2 b.am(3个包)密码的安全性在hash保障 1.5 a.xauth (1.安全2.用户认证3.aaa) b.mode-config(推送策略1.ip
阅读全文
10.Redundancy VPN(设备备份)
摘要:设备备份的高可用性vpn client: cry isa pol 10 au pre hash md5 cry isa key 0 cisco address 202.100.2.100 cry ipsec transform-set cisco esp-des esp-md5-hmac ip ac
阅读全文
9.HA高可用性VPN(链路备份)
摘要:高可用性vpn client: cry isa pol 1 au pre hash md5 cry isa key 0 cisco address 202.100.1.2 cry isa key 0 cisco address 61.128.128.3 cry ipsec transform-set
阅读全文
8.ISAKMP Keepalive
摘要:vpn keeplive机制 如果对方某个接口dwon,这边的安全关联是不会消失的,生存期是1个小时。1个小时加密的流量相当于被仍到黑洞里面去。永远只有加密。 我们希望能够探测到这个安全是否ok,那么我们需要一个包活机制,来周期性的发送一个hello包,来探测对方的活动状态,这个技术叫做cry is
阅读全文
7.VPN的访问控制列表
摘要:vpn的acl ipsec的流量 第一阶段第二阶段总共有9个包如果是主模式封装进源目端口500.第一第二阶段结束就进入实际的加密,按照协议的选择可能是esp也可能是ah internet: ip access-list ex control permit udp host 202.100.1.10
阅读全文
6.RRI
摘要:rri 作用:反向路由注入, 使用场合: rri这个主要和ha(高可用性)相关的fcatruc一起使用,如上图:一个公司有两个网关(gw1,gw2)分别与两个sp相连来提供高可用性,gw1是remote的首选拨入点,当gw1不能抵达的时候选择第二拨入点gw2. 但是这样的ha的设计引入了内部serv
阅读全文
5.NAT-T
摘要:nat-t nat-t的transport封装 会用一个源末均为4500号端口,插入一个udp hdr和non-ike 插入一个udp hdr和non-ike no crypto ipsec nat-transparency udp-encaps(打开nat-t) nat keeplive 默认由i
阅读全文
4.GRE OVER IPSEC
摘要:gre over ipsec site1: int f0/0 ip add 202.100.1.1 255.255.255.0 no sh int lo0 ip add 1.1.1.1 255.255.255.255int lo1 ip add 2.2.2.2 255.255.255.255 int
阅读全文
3.IPSEC OVER GRE
摘要:ipsec over gre 工程不推荐 加密包在router里边处理过程,和map撞击的方法 主要为了跑动态路由协议 问:为什么我们需要用到GRE? 答:Ipsec VPN 不能够支持加密二层和组播流量,这样一个限制就意味着 不能够通过Ipsec VPN 运行动态路由协议。为了解决这个问题,我们采
阅读全文
2.动态 VS 静态 Crypto MAP
摘要:动态对静态的vpn 如果都是cisco产品,可不用这种技术,因为cisco有更好的解决方法ezvpn.如果是不同厂家产品可使用此技术。 zhongxin: ip route 0.0.0.0 0.0.0.0 123.1.1.2 fengzhi: ip route 0.0.0.0 0.0.0.0 123
阅读全文
1.d MAP的处理
摘要:接收方收到vpn流量的处理 是否感兴趣流 是否加密 有无map action n/a 加密 有 解密 是 不加密 有 drop 是 不加密 没有 forword n/a 加密 没有 解密 所有可能进和出的接口都应用上map
阅读全文
1.c L2l IPSEC Profile
摘要:r1: inter e1/0 ip add 123.1.1.1 255.255.255.0 no sh inter lo0 ip add 1.1.1.1 255.255.255.255r2: int e0/0 ip add 123.1.1.2 255.255.255.0 no sh int lo0
阅读全文
1.b L2L ISAKMP Profile
摘要:lan to lan vpn r1: inter e1/0 ip add 123.1.1.1 255.255.255.0 no sh int lo0 ip add 1.1.1.1 255.255.255.255 r2: int e0/0 ip add 123.1.1.2 255.255.255.0
阅读全文
1.a VPN路由和基本配置
摘要:vpn路由 通讯店:1.1.1.1/32 2.2.2.2/32 加密点:202.100.1.1 202.100.2.1 中间路由器需要加密点的路由 internet 202.100.1.1 202.100.2.1 加密点设备需要 1.对端加密点的路由r1:202.100.2.1 2.感兴趣流的目的(
阅读全文
Wlof秦柯IPvsec VPN-1
摘要:加密技术 对称密码学 密码学算法主要分为两个大类,对称密码学和非对称密码学,有各自的优缺点: 相同的密钥加密和解密 密钥管理问题,密钥分发,存储,管理以及缺乏对数字签名的支持。 对称加密优缺点: 加密速度快 对称加密是安全的 对称加密密文紧凑的 因为接受者需要得到对称密钥,所以对称加密容易受到中途拦
阅读全文
