1. 情人缘消节 暗黑指南

                           …

    on 内涵搞笑

  2. 盘点足坛十豪门奇葩传统

                         …

    on 足球 内涵搞笑

  3. VPN实验杂记三

    1.disabling xauth for static ipsec peers 2.ezvpn 添加xauth userid mode http-intercept 3.tunnel 分割的DNS 4.check on claer-text packets 解密后流量在set ip access-group 151 in这里放 5.DF 老的IP头部和新产生的IP头部DF位的关系 6.ezvpn 12.4以前不支持证书,12.4以后要支持证书需要加上第一阶段策略 7.invalid spi recovery 错误的SPI回馈 8.show crypto session 包括了第一阶段、第二阶段信息 9.clear crypto session…

    on 安全 VPN 思科

  4. VPN实验杂记二

    remote vpn,ezvpn 他们的类型是一样的,server端的配置也是一样的。 crypto isakmp policy   remote vpn和ezpvn的client都有默认内建策略。 用户根据拨的组不同,得到的配置也不同。   使用证书的Remote vpn 第一阶段为main mode 使用pre-share-key的Remote vpn 第一阶段为aggressive mode   客户端配置: crypto ipsec client ezvpn cisco connect auto/manual group 组名 key mode 使用什么样的模式 client只能client发起连接,会得到ip地址、network client可以发起到server,server也能发起到client,不会得到ip地址 peer 定义server是谁?   调用 接口下面(要调用两次) 外部接口:…

    on 安全 VPN 思科

  5. VPN实验杂记一

    感兴趣流量acl问题: 两端acl不匹配:比如一端acl是24位的,另外一端acl是32位的,只能32位一端能主动发起vpn;如果24位主动发起的,vpn是不能被建立的。 在建立IPSec过程中,两端会交换ACL来匹配,比如 A端 acl 32位 ----> B端 acl 24位     协商成功 B端 acl 24位 ----> A端 acl 32位     协商不成功 路由器上 isakmp默认是开启的,防火墙上 isakmp默认是关闭的。   VPN配置4大块: 路由问题 感兴趣流量 第一阶段策略 第二阶段转换集   出接口要挂map,入接口不一定需要挂map lan2lan配置---路由器和路由器,路由器和pix 清除vpn配置的时候,先摘除map。   防火墙配置vpn时,要注意vpn和nat的重叠问题,vpn的优先级要比nat低;如果vpn中的流量…

    on 安全 VPN 思科

  6. VPN理论8

    VPN封装流程:   VPN协商过程:     1,路由 2,列表 3,策略 4,调用   路由问题: 通讯点:需要知道对端通讯点路由 加密点:需要知道对端加密点及两端通讯点路由   列表问题: 如果被列表匹配,只有两种解决方案: 1,加密出去, 2,没有完成加密丢弃   调用问题: 应该选择在所有可能的路由出接口调用。   Ipsec vpn 协商及封装过程: 1,从R1去往R6发起vpn流量   ping 6.6.6.6 so 1.1.1.1 2,查看路由表,经由2到3 3,…

    on 安全 VPN 思科

  7. VPN理论7

    IKE介绍 IKE负责在两个IPSec对等体间协商一条IPSec隧道的协议。 协商协议参数 交换公共密钥 对双方进行认证 在交换后对密钥进行管理   IKE的三个组成部分: SKEME 定义一种密钥交换方式 oakley 提供在两个IPSec对等体间达成相同加密密钥的基本模式的机制。(对多模式的支持,例如对新的加密技术。并没有具体定义交换什么样的信息。) ISAKMP 定义了消息交换的体系结构,包括两个IPSec对等体间分组形式和状态转变 (定义封装格式和协商包交换的方式)   IKE的三个模式:   lan to lan一般使用主模式 remote vpn 一般使用主动模式,考虑到过去pc性能太差,才使用主动模式。后来考虑到3个包的主动模式缺乏认证,提出了1.5阶段xauth来提供认证。   show crypto isakmp sa : QM_IDLE 表示快速模式已结束   IKE 6个包的作用: 1-2个包:用来协商IKE策略。这些包里面包含IP地址(这个是crypto isakmp key…

    on 安全 VPN 思科