cisco安全、vpn等知識匯總

安全知識 一、 網(wǎng)絡(luò)安全CIA三角模型 私密性：邏輯和物理的限制 完整性：出來沒有修改 源認(rèn)證 高可用性：數(shù)據(jù)能夠持續(xù)被訪問 二、 安全的定義 私密性：也就是加密，防止除了各地老師以外的其他人員能夠看到這個版本 完整性：確保版本在傳輸過程中是沒有被篡改的 源認(rèn)證：各地老師要確保收的版本是我發(fā)的而不是其他偽裝源發(fā)的 不可否認(rèn)性：我不能事后否認(rèn)發(fā)送過版本給各地老師 三、 防火墻的定義 防火墻是一個連接兩個或多個網(wǎng)絡(luò)區(qū)域，并且基于策略限制區(qū)域間流量的設(shè)備。（組織威 脅從一個區(qū)域蔓延到其他區(qū)域 1、 區(qū)域類型 內(nèi)部 默認(rèn)安全級別為 100 外部 默認(rèn)安全級別為 0 dmz 隔離區(qū)域 默認(rèn)安全級 別為 0 高安全級別可以訪問低安全級別的區(qū)域，但是低安全級別不能訪問高安全級別區(qū)域 dmz 區(qū)域用來放置一些服務(wù)器 2、 防火墻的技術(shù) 1、 包過濾 特點： 基于靜態(tài)包頭信息，限制進(jìn)入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包 2、 應(yīng)用層代理 特點：處理速度慢（對數(shù)據(jù)包深度檢測） 對設(shè)備的性能要求也 高 數(shù)據(jù)包的處理效率也是要降低的 但是安全性比較高 防火墻必須定時更新進(jìn)程，否則防火墻沒有辦法去代理新的服務(wù)。 3、狀態(tài)包過濾 特點： 轉(zhuǎn)發(fā)效率比較高（基于狀態(tài)化表象轉(zhuǎn)發(fā)數(shù)據(jù)） 能夠感知 應(yīng)用層，能動態(tài)打開服務(wù)端口 安全強(qiáng)度稍差與代理防火墻 四、包過濾的工作過程 TCP已建立連接的返回包穿越防火墻外網(wǎng)接口，檢測tcp的flag位有ack字樣，acl就會認(rèn) 為這是已經(jīng)建立連接的返回包。 tcp 三次握手建立連接 （請求 發(fā)送 回應(yīng)） syn ————》 syn+ack A 《 ———— B ack ————》 TCP是一個面向連接，每發(fā)送一個數(shù)據(jù)包，都要收到一個ACK確認(rèn)，如果沒有收到， 就一直發(fā)包，直到收到ACK確認(rèn)包為止，確保每一個數(shù)據(jù)包發(fā)送回到目的地（前提：tcp 連接建立好了） 五、 應(yīng)用層代理的工作過程 1、客戶端發(fā)送請求到 ALG 2、ALG 從新封裝發(fā)送給服務(wù)器 3、服務(wù)器回應(yīng) 4、 ALG 從新封裝回應(yīng)給客戶端 六、 狀態(tài)包過濾的工作過程 當(dāng)內(nèi)網(wǎng)的流量去訪問外網(wǎng)的時候會經(jīng)過防火墻，防火墻會對內(nèi)網(wǎng)流量進(jìn)行狀態(tài)化信息記 錄，而這些狀態(tài)化信息記錄都存放在他的狀態(tài)信息表里，當(dāng)外網(wǎng)的流訪問內(nèi)網(wǎng)時，到達(dá)防火 墻會查看狀態(tài)信息表，如果有則直接轉(zhuǎn)發(fā)到內(nèi)網(wǎng)，如果沒有則不能直接轉(zhuǎn)發(fā)到內(nèi)網(wǎng)。 failover 故障切換 故障倒置 包含： A/A A/S 七、 PIX支持功能： a. 私有的操作系統(tǒng) b. 狀態(tài)化的包過濾：源目ip；源目端口號；序列號；flag c. 穿越用戶認(rèn)證 d. 應(yīng)用層感知的監(jiān)控系統(tǒng)：1.保證協(xié)議正常工作2?應(yīng)用程序安全 e. 模塊化的策略：l.inspect:改變端口的時候起作用，現(xiàn)在可以基于acl或者vpn的流量 做監(jiān)控 2.IPs 3.policy f. vpn:pix集成了幾乎所有vpn3000的功能 g. 多模式防火墻：多個不同的模塊，65防火墻模塊繼承而來 h. failover 性能（時效性恢復(fù)功能） i. 透明防火墻：對于3層來說是透明的 j. 圖形化界面：SDM （IOS）, ASDM （PIX ASA）， ISDM（IPS） 八、.ASA特性：CISCO防火墻型號大部分都軟件區(qū)別，硬件是 一樣的。 a. 狀態(tài)監(jiān)控包過濾 b. 穿越用戶訪問網(wǎng)絡(luò)驗證（ip直接訪問不安全，容易偽裝ip） c. 應(yīng)用層過濾（不是為了做ACL ,而是URL過濾,FTP上傳下載的文件名,msn只能傳文件， 不能玩游戲，等高級控制功能） d. MPF模塊化安全策略（qos） ——MQC:MQC（Modular QoS ）:模塊化QoS命令行接口， 在Cisco IOS 12.0⑸T版本中被引用.通過做MQC來 實現(xiàn)監(jiān)控，限速， QOS 等等 e. 強(qiáng)大的vpn功能：IPSEC VPN （遠(yuǎn)程撥號VPN強(qiáng)大，如果是站點到站點還是用路由器） SSL VPN f. IPS硬件模塊（兩個模塊：AIP-SSM -入侵防護(hù) CSC-SSM---防病毒，URL,防垃圾郵 件來擴(kuò)展功能） g. 多模式防火墻（虛擬防火墻）最獨特的功能，做很多子防火墻（虛擬化） h. FO 可用性主備用 i. 透明防火墻（就是二層交換機(jī)） 防火墻基于路由表 來轉(zhuǎn)發(fā)數(shù)據(jù)表 j. 圖形化界面網(wǎng)管（ASDM）： SDM （IOS）, ASDM（PIX ASA）， ISDM（IPS） 九PIX與ASA的區(qū)別： 版本都能支持8.03考試版本，以下都是PIX沒有的功能——最新的8.3幾 SSLVPN SSM （PIX 沒有這個槽位不能擴(kuò)展功能） 支持VPN族和負(fù)載均衡5520開始有這個功能 CF 卡 （擴(kuò)展 FLASH） AUX 口 十.PIX產(chǎn)品的授權(quán)： l 版本的授權(quán)：1.UR :非限制版 2.Restricted：限制版。 1. 只能夠支持 3 個物理口 2?只支持內(nèi)存64M的內(nèi)存 3. 不能夠做 failover 3. Active/standby failover 版本 4. Active/active failover 版本 最便宜的做法是拿一個UR和一個FO做failover 金牌可以將failover自己生成UR的產(chǎn)品來賺取之間的利潤。從中差價很大。單獨的FO沒 有用處。 2、加密的授權(quán) 所有人都可以免費(fèi)得到DES的授權(quán) 理論上只有北美和加拿大才有3DES的授權(quán)。中國不可以。但是中國市場上有多模式 防火墻的授權(quán) R 限制版不支持多模式防火墻 UR非限制版默認(rèn)有2個多模式防火墻的授權(quán)。但是最多可以買50個的授權(quán)。 mpf 模塊化安全策略 包擴(kuò)四個 G 口模塊 ips 模塊 AIP SSM 模塊 CSC SSM 模塊 （放病毒 URL 過濾 放垃圾郵件） 透明防火墻：二層防火墻 一般在 公司的內(nèi)網(wǎng)已經(jīng)確定好 在分割的時候 不想改變網(wǎng)段 把防火墻的路由模式改成透明模式，這樣防火墻 純粹屬于一個二層的防火墻 這樣就實現(xiàn)了一個過濾的功能。 透明防火墻是二層防火墻技術(shù) 1. 只能有兩個接口， 2. 如果兩個接口都接交換機(jī)，兩個接口必須要化到不同的 vlan 中 3. 支持多模式防火墻 5.防火墻的安全策略: ? dmz：非軍事區(qū)，安全級別居中50,適合放為內(nèi)部和外部服務(wù)的服務(wù)器及VPN設(shè)備。同 時可以存在多個DMZ。DMZ—般放在第三接口上，也可以放在兩個防火墻之間。（如果 沒有 DMZ?????） ? Outbound流量：由高安全級別到低安全級別 ? Inbound流量：由低安全界別到高安全級別 從高安全接口到低安全接口是完全可以的，但是從低安全接口到高安全接口是不可以的，除 非用訪問列表放掉。避免安全級別相同，相同安全級別端口默認(rèn)不通，可以用命令激活。 防火墻的 acl 由低安全級別區(qū)域去訪問高安全級別區(qū)域叫做inbound 由高安全級別區(qū)域去訪問低安全級別區(qū)域叫做outbound 路由器上的和防火墻上訪問控制列表的相同點個不同點? 相同點： 1、訪問控制列表隱藏的默認(rèn)還是拒絕 2、 訪問控制列表的順序由上到下一次匹配 3、 針對數(shù)據(jù)包的源ip去過濾數(shù)據(jù)包 不同點：1、防火墻上的acl只控制穿越防火墻的流量 對抵達(dá)防火墻的流量是不 起作用的 2、 只對初始化的數(shù)據(jù)包起作用 防火墻內(nèi)部出去的流量依舊可以返回 路由器從內(nèi)網(wǎng)出去的流量返回的時候就會被干掉 防火墻上不指定訪問控制的類型的話，默認(rèn)為擴(kuò)展的訪問控制列表。 inactive 暫時性的不活躍 可以暫時性的使一個條目失效 rename 可以對訪問控制列表改名字 remask 可以對訪問控制列表做注釋 l 時間 ACL time range 123 （名稱） absolute start 00:00 1 August 2004 end 00:00 30 august 2004 絕對時間 periodic weekdays 8:00 to 17:00 周期性時間 static （dmz,outside） 192.168.0.6 172.16.0.6 access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range 123 l 對抵達(dá) （對穿越的沒有作用）防火墻的 icmp 進(jìn)行控制，方向是只能是 in 方向 icmp deny any echo outside icmp 拒絕從源為任何地址，目的為 outside 接口的 echo-request 流量。默認(rèn)后面有一個 deny 所有流量的列表。 icmp permit any outside ---其他的抵達(dá) outside 流量全部放行 Nat-control ? OS >7.x 默認(rèn)no nat-control□ ? OS <7.x 默認(rèn)nat-controlp ? Nat-control一旦啟用,沒有n®t不能穿越FVV口 ? No WtYO®著程験蠶幽劇齢前提下，無 需Wt也能穿越FW。 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換 ASA nat 動態(tài)NAT :—對一，多對一，自己轉(zhuǎn)化自己，(natO)特定流量的NAT(POLICE NAT) 高 優(yōu)先級-低優(yōu)先級 靜態(tài)NAT:—對一，網(wǎng)絡(luò)靜態(tài)轉(zhuǎn)換，端口轉(zhuǎn)換 低優(yōu)先級--高優(yōu)先級 ACL放行 NAT bypass :NAT 旁路 NAT 0 +ACL 配置 1. 動態(tài)一對一NAT：(適用于內(nèi)部用戶上網(wǎng)) nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0 show xlate 查看轉(zhuǎn)化槽位 2、PAT nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 202.100.1.100 fw1(config)# access-list deny-flow-max 1024 fw(config)#access-list alert-interval 120-—120秒以內(nèi)最多出現(xiàn)1024條log顯示，以免攻擊流量所顯示的信息占用太多的資源。 deny不會產(chǎn)生log生成日志 同樣名字的 access-list根據(jù)輸入時間先后順序來用用line 1/2/3來區(qū)分，如果想在1和2之間插入一條， 那么可以寫入line 2條目，這樣原來的2就變成了條目3. work-object 的配置方法： DMZ區(qū)域有3臺服務(wù)器，每個服務(wù)器提供http ,https,ftp服務(wù)。 這樣就會有3條靜態(tài)的nat，和9條acl進(jìn)行配置。配置起來很麻煩。 可以對服務(wù)(http,https,ftp)，或網(wǎng)絡(luò)主機(jī)，或4層協(xié)議(tcp udp),或ICMP類型(echo echo-reply )進(jìn) 行歸類。 對地址進(jìn)行歸類 對服務(wù)進(jìn)行歸類 同時調(diào)用地址歸類和服務(wù)歸類： 對協(xié)議進(jìn)行歸類 對ICMP信息進(jìn)行歸類 1. activeX blocking: fw1(config)# filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 2. java applet filtering 3. url filter service思科支持兩個廠商websence和n2h2的url服務(wù)器。 多模式防火墻 多模式防火墻使用場合： 1.SP的IDC機(jī)房為不同用戶做不同的防火墻策略 2. 大企業(yè)或者學(xué)校，希望部門之間完全的隔離 3. 若單模防火墻接口非常多的情況下。 兩種配置模式： 1. 系統(tǒng)全局配置模式：創(chuàng)建虛擬防火墻，為每一個虛擬防火墻關(guān)聯(lián)接口。 2. 子防火墻配置模式 l.adm in虛擬防火墻： 因為系統(tǒng)全局配置模式不能為接口配置IP的。也不能進(jìn)行網(wǎng)管的，所以有了admin虛擬防火 墻，它把一個接口虛擬連到自己身上，配置IP地址進(jìn)行網(wǎng)管?？梢郧袚Q到系統(tǒng)全局模式， 也 可以切換到其他子防火墻。子防火墻也可以配置IP進(jìn)行網(wǎng)管，但是只能網(wǎng)管自己，不能切 換到其他防火墻上。 2、接口 share模式： 一個接口為多個虛擬防火墻所公用，配置多個IP地址，但是MAC地址是唯一的。連接用戶 PC的接口不能是share的。因為用戶所寫網(wǎng)關(guān)的真正用途是，用戶再封裝數(shù)據(jù)包時，目的地 址時網(wǎng)關(guān)的MAC地址。這樣數(shù)據(jù)再到達(dá)防火墻后不知道走哪個路徑。所以不能用share模式 Failover故障切換 A/S FO :備用是閑置 一個主 一個備 當(dāng)主運(yùn)行的時候是備是閑置的 A/A FO:網(wǎng)絡(luò)規(guī)劃使兩個設(shè)備都有流量。 兩個都是主設(shè)備 防火墻的熱備就是防火墻的failover 做防火墻的熱備必須具有相同的的條件 靠專線來實現(xiàn)兩個防火墻的同步 串口 f/0 和 lan based f/0 pix可以做兩種情況的f/0,asa只能做lan based f/o.因為其沒有串口。 硬件FO：沒有已建連接的copy stateful FO:有已建連接的copy。 2. 做failover的兩臺設(shè)備的條件： 兩個FO或者一個UR和一個F0 硬件,接口，必須相同 加密授權(quán)必須相同 7.0、以上軟件版本可不相同，以下要相同 outside與outside必須是二層網(wǎng)絡(luò) inside與inside必須是二層網(wǎng)絡(luò) DMZ和DMZ必須使二層網(wǎng)絡(luò) 3. active切換為standb y的過程： 如果一段時間內(nèi)收不至到hello,接口進(jìn)入測試模式： 1. 接口是否up 2. 有沒有活動的網(wǎng)絡(luò)流量 3. 做接口的arp測試 4. 做廣播的ping. 如果都失敗的話，就交出active o 4.一個基于串口 A/S FO serial線纜兩端有標(biāo)識分別是primary和secondary。primary連接主用，secondery連接備用。 不能接 加密學(xué)原理 凱撒密碼： 最早的加密算法，已經(jīng)被淘汰 兩種加密學(xué) 對稱密碼學(xué)： 兩個通訊者之間的密鑰是一樣的，也就是加密是和解密時的密鑰相同。 加密算法 des 56位 3des 168位 aes 128位 196位 256bit 從古埃及的時候就用這種密碼學(xué) 密鑰的長度越長，加密的可靠性就越強(qiáng) 優(yōu)點：加密速度快，加密后的數(shù)據(jù)不會變大 非對稱密碼學(xué)：用戶擁有兩個對應(yīng)的密鑰 用其中一個加密，只有另一個能夠解密， 兩者一一對應(yīng)。 加密算法：DH RSA ECC主要應(yīng)用于3G網(wǎng)絡(luò) 缺點：加密速度慢，加密后的數(shù)據(jù)會變大 組合加解密過程 也叫做數(shù)字信封 使用對稱加密算法進(jìn)行大批量的數(shù)據(jù)加密 ，每次產(chǎn)生一個新的隨機(jī)密鑰 （會話密鑰）使用非對稱加密算法的公鑰對會話密鑰進(jìn)行加密并傳遞，會話密鑰到達(dá)對端 之后，用非對稱加密算法公鑰所對應(yīng)的私鑰 進(jìn)行解密，得出會話密鑰，然后用對稱加密算法的私鑰對會話密鑰進(jìn)行解密，得出所要的 明文數(shù)據(jù) 完整性校驗 md5 sha 摘要算法可以驗證數(shù)據(jù)的完整性 （hash） 散列函數(shù)計算結(jié)果稱為摘要，同一種算法，不管輸入長度是多少，結(jié)果定長 無法從摘要的值反推回原始內(nèi)容，具有單向性，不可逆性 不同的內(nèi)容其摘要也不同 數(shù)字證書 給自己的本身做一個證書 數(shù)字簽名 數(shù)字簽名使用簽名方的私鑰對信息摘要進(jìn)行加密的一個過程 簽名過程中所得到的密文即稱為簽名信息 首先將明文信息通過hash算法計算出一個摘要，使用發(fā)送方的私鑰對摘要進(jìn)行加密，得到 加密后的摘要，然后再將明文使用接收方的公鑰進(jìn)行加密，到達(dá)接收方時，使用接收方的 私鑰對密文進(jìn)行解密，得到明文之后通過hash算法計算出摘要值，然后再將其加密后的摘 要使用發(fā)送方的公鑰進(jìn)行解密，得出摘要值，如果相同則證明是發(fā)送方發(fā)送的。 數(shù)字簽名的功能： 保證信息傳輸?shù)耐暾? 發(fā)送者的身份認(rèn)證(原認(rèn)證) VPN 1、 定義：兩個內(nèi)網(wǎng)之間跨公網(wǎng)通信，在局域網(wǎng)的邊界設(shè)備做vpn,來實現(xiàn)內(nèi)網(wǎng)之間的通信 2、 vpn的分類 2層ATM異步傳輸FR幀中繼 3層GRE IPSEC MPLS (服務(wù)商提供的vpn 只支持站點到站點的vpn) vpn的模型 站點到站點 (l2l site to side) ATM FR GRE 遠(yuǎn)程 vpn(REMOTE ACCESS)-----IPSEC,PPTP,L2TP+IPSEC,SSLVPN 通信點：vpn本端身后需要加密的網(wǎng)段叫做通信點 對端身后需要加密的網(wǎng)段也叫做通信點 必須知道對端通信點的路由，原因是因為要保證對端的通信點的路由必須經(jīng)過本端通信點 的出接口。 加密點；感興趣流經(jīng)過的出接口叫做加密點 感興趣流： 通信點到通信點之間的流量叫做感興趣流 邊界設(shè)備只對感興趣流進(jìn)行加密 ipsec兩個安全的承載協(xié)議 IPSEC組成部分-----Internet協(xié)議安全性 esp （負(fù)載安全封裝）協(xié)議 ---50 AH 認(rèn)證頭協(xié)議 51 IKE internet密鑰交換協(xié)議 esp與AH的區(qū)別 1. 封裝格式不一樣esp：頭尾驗證 ah：頭 2. esp既加密又驗證 ah只驗證，不加密 3. esp能夠穿越nat ah不能夠穿越nat ipsec兩種模式 傳輸模式：加密點等于通信點的時候為傳輸模式 隧道模式：默認(rèn)模式為隧道模式 加密點補(bǔ)等于通信點 lan to lan 隧道模式也具有傳輸模式的功能 ipsec加密算法 des 默認(rèn) 3des aes ipsec驗證 md5 128 shal 默認(rèn) .ipse兩個數(shù)據(jù)庫 SPD 全策略數(shù)據(jù)庫：決定什么流量將接受ipse處理 SADB---安全關(guān)聯(lián)數(shù)據(jù)庫：維護(hù)每一個SA （安全關(guān)聯(lián)）包含的參數(shù) SA—包含了雙方關(guān)于IKE和IPSEC 已經(jīng)協(xié)商完畢的安全心心 （都是又IKE協(xié)議協(xié)商產(chǎn)生的） ike or isakmp sO1雙向的2.決定了 IKE協(xié)議處理相關(guān)的細(xì)節(jié)） IPSEC SA （1.單向的2.決定了具體加密流量的處理方式） ike■辦商的兩個階段 第一階段：建立vpn連接 第二階段：為數(shù)據(jù)包進(jìn)行加密封裝 IKE介紹：負(fù)責(zé)建立維護(hù)IKE SA和IPSEC SA IKE負(fù)責(zé)在兩個IPSEC對等體間協(xié)商一條IPSEC隧道的協(xié)議 功能： 對雙方進(jìn)行驗證 交換公共密鑰，產(chǎn)生密鑰資源，管理密鑰 協(xié)商協(xié)議參數(shù)（封裝，加密，驗證。。。） 在交換后對密鑰進(jìn)行管理 IKE的三個組成部分 1. SKEME: 提供為認(rèn)證目的使用的公開密鑰加密的機(jī)制 2. Oakle y提供在兩個IPSEC對等體間達(dá)成相同加密密鑰的基本模式的機(jī)制 3. ISAKMP :定義了消息交換的體系接□，包括兩個IPSEC對等體間分組形式和狀態(tài)轉(zhuǎn)變 IKE 包括兩個階段三個模式： 1.isakmp sa 相互認(rèn)證 1. main mode（6 message ） 一般用主模式 2. aggressive mode （3 message）為遠(yuǎn)程vpn服務(wù) 主動模式（H3C 野蠻） 2.ipsec sa （ quick mode 3 message） 選擇加密算法 二階段 對端地址固定的時候用主模式 對端地址不固定的時候用主動模式例如遠(yuǎn)程vpn 第一階段 ISAKMP（ udp 500）主模式：周期是一天。 6個包 1 2個包 選擇安全側(cè)略 3 4個包選擇加密算法 56個包 選擇認(rèn)證 第二階段 IPSEC SA :周期是1個小時 1.首先把ISAKMP協(xié)商的內(nèi)容發(fā)給對方，進(jìn)行第二次的認(rèn)證 2.IPSEC階段的策略協(xié)商 3.建立sa .和后續(xù)工作。 配置i psecvp n的五大步驟 1、 iskamp或ike peer驗證 （第一階段） 2、 ipsec sa策略 封裝協(xié)議 ：esp ah 工作模式：傳輸模式 隧道模式 加密算法：des 3des aes 驗證算法： md5 shal 3、 感興趣流 （擴(kuò)展acl抓流） 4、 3個關(guān)聯(lián)（sa關(guān)聯(lián)） set peer （第一階段） ike sa 匹配感興趣流 map set 轉(zhuǎn)換體 （第二階段） ipsec SA 5、調(diào)用：物理口 tunnel 封裝格式： 新源ip esp 源ip 新目的ip 新目 ip remote VPN gre vpn 使用場合：分支與中心必須有固定的IP，且身后都有負(fù)復(fù)雜的網(wǎng)段網(wǎng)絡(luò) 1、GRE （通用路由封裝）——47 純粹是為了兩內(nèi)網(wǎng)跟隧道跑動態(tài)路由協(xié)議 一種隧道協(xié)議，可支持多協(xié)議數(shù)據(jù)，內(nèi)部支持廣播組播。支持同一站點多個內(nèi)部局域網(wǎng)的 VPN。不提供傳輸安全性。 2采用ip協(xié)議號47 3、新ip頭部為20個字節(jié) gre頭部的長度為4?20個字節(jié) 動態(tài)map 分支地址不固定 總部地址固定 第一階段：分支單向發(fā)起 如果分支想和分支通vpn,必須在中心處理之后中轉(zhuǎn)，這樣就需要兩次加解密。 dmz vpn 動態(tài)多點vpn 分支之間是按需建立連接的 nhrp 嚇一跳解析協(xié)議 必須把分支機(jī)構(gòu)的公網(wǎng)地址對應(yīng)得隧道地址告訴中心，中心來進(jìn)行管理，并且中心會把其 他分支機(jī)構(gòu)公網(wǎng)ip和隧道接口 ip的對應(yīng)關(guān)系告訴各個分支機(jī)構(gòu) nhs 中心服務(wù)器 REMOTO VPN 遠(yuǎn)程撥號vpn （撥號） 位出差人員提供便利 第一階段：建立vpn連接 第二階段：為數(shù)據(jù)包進(jìn)行加密封裝 地址池 需要在網(wǎng)關(guān)設(shè)備上創(chuàng)建一個地址池，遠(yuǎn)程設(shè)備獲取poo 1里的地址作為源與內(nèi)網(wǎng)通信 用戶組 反向路由注入 ezvpn EZVP N是IPSEC VPN的一個易用技術(shù)，它的主要思想源于cisco remote VPN。為了簡化客戶端的配置cisco把這種思想引入到了 client 端路由器上。名字叫EZVPN。但是easy只是客戶端簡單。中心站點還是remote vpn配置。 EZVP N主要適用于一些小型的站點，例如：小超市，小的服裝專賣店，或者彩票點。他們 的網(wǎng)絡(luò)很簡單，地址是動態(tài)獲得的。只有身后的直連網(wǎng)絡(luò)，不需要什么動態(tài)路由協(xié)議，并 且客戶端維護(hù)人員基本不懂任何vp n的這樣的網(wǎng)絡(luò)非常適合使用EZVP N這個技術(shù)。 mode 兩種模式： client 獲取到一個IP，身后的網(wǎng)段都通過PAT,轉(zhuǎn)化到這個IP，再來訪問中心內(nèi)網(wǎng)服務(wù)器的。 network--plus 網(wǎng)絡(luò)擴(kuò)展模式，能獲取到IP，不作轉(zhuǎn)化，僅僅用作中心網(wǎng)管client路由器的作用 vpn特性 反向路由注入 在HA(高可用性) VPN的情況下需要在GW1和GW2上同時啟用RRI，只有當(dāng)remote vpn成功撥上以后才能產(chǎn)生32位的主機(jī)路由，這個時候在GW1和GW2同時運(yùn)行內(nèi)部的動態(tài) 路由協(xié)議，把RRI產(chǎn)生的主機(jī)路由重分布進(jìn)入內(nèi)部的動態(tài)路由協(xié)議，正確的引導(dǎo)流量返回re mote vpn。主機(jī)RRI的路由并不是同時產(chǎn)生的，只會在remote vpn撥上的路由器上產(chǎn)生，所以不會造成內(nèi)部路由的混亂。 keeplive ISAKMP keepalive作用在于探測當(dāng)前IPSEC vpn的可用性。之前各種VPN都沒有啟用這個特性。默認(rèn)情況TIPSEC VPN沒有?；顧C(jī)制的。IPSEC VPN的超時時間為一小時，如果VPN的中間設(shè)備出現(xiàn)故障，那么在VPN超時時間以前，VP N的流量都會被丟棄。也就是說會出現(xiàn)一方有加密的包，另一方卻沒有解密的包。VPN 的SA也只有等足一小時才能重新建立。特別是在HA VPN和備用鏈路VP N的時候。更需要啟用這個特性。要求VPN兩端接口要同時啟用。當(dāng)啟 用了此feature以后。Isakmp keepalive會從SA協(xié)商時開始周期發(fā)送DPD (dead peer detection )包。如果沒有回包，則說明peer已經(jīng)斷掉，那么會立即協(xié)商SA。 vpn熱備 分為鏈路備份和設(shè)備備份 鄰居peer 鏈路備份是需要設(shè)置反向路由注入 ip需要本端物理接口的ip地址，先指哪個就先走哪一個 設(shè)備備份需要做hsrp和反向路由注入鄰居的ip地址應(yīng)該只本端虛擬網(wǎng)關(guān)的ip地址。