Tag: 安全

  1. IOS remote vpn(2)

      配置方法一: Server端配置 Aaa new-model Aaa authentication login ezvpn local Aaa authorization network ezvpn local   Username cisco password cisco Ip local pool ippool 100.1.1.1 100.1.1.100   Crypto isakmp policy 10   Hash md5   Authentication pre-share   Group 2 Crypto isakmp client configuration…

    on 安全 VPN 思科

  2. IOS remote vpn(1)

    Non-supported Protocols   Supported Protocols   Remote access种类: Remote vpn (client为pc) EZVPN(client为设备)   三种类型: client: server端反向注入的路由是 到client获取地址的路由;自动添加loopback0 和 PAT;client能访问server,server不能访问client network extension:server端反向注入的路由是 到client内部接口的路由;不添加loopback0 和 pat;client 和 server之间能够互相访问 network extension plus:server端反向注入的路由是 到client内部接口的路由;会添加loopback0,但不会添加pat,loopback用于网管   split tunnel mode: 1. tunnel everything 加密所有 2.…

    on 安全 VPN 思科

  3. Redundancy VPN

      R1配置: crypto isakmp policy 10   hash md5   authentication pre-share   group 2 crypto isakmp key cisco address 10.1.1.254 crypto isakmp keepalive 10 periodic crypto ipsec transform-set trans esp-des esp-md5-hmac crypto map cisco 10 ipsec-isakmp   set peer 10.1.1.254   set transform-set…

    on 安全 VPN 思科

  4. VPN实验杂记三

    1.disabling xauth for static ipsec peers 2.ezvpn 添加xauth userid mode http-intercept 3.tunnel 分割的DNS 4.check on claer-text packets 解密后流量在set ip access-group 151 in这里放 5.DF 老的IP头部和新产生的IP头部DF位的关系 6.ezvpn 12.4以前不支持证书,12.4以后要支持证书需要加上第一阶段策略 7.invalid spi recovery 错误的SPI回馈 8.show crypto session 包括了第一阶段、第二阶段信息 9.clear crypto session…

    on 安全 VPN 思科

  5. VPN实验杂记二

    remote vpn,ezvpn 他们的类型是一样的,server端的配置也是一样的。 crypto isakmp policy   remote vpn和ezpvn的client都有默认内建策略。 用户根据拨的组不同,得到的配置也不同。   使用证书的Remote vpn 第一阶段为main mode 使用pre-share-key的Remote vpn 第一阶段为aggressive mode   客户端配置: crypto ipsec client ezvpn cisco connect auto/manual group 组名 key mode 使用什么样的模式 client只能client发起连接,会得到ip地址、network client可以发起到server,server也能发起到client,不会得到ip地址 peer 定义server是谁?   调用 接口下面(要调用两次) 外部接口:…

    on 安全 VPN 思科

  6. VPN实验杂记一

    感兴趣流量acl问题: 两端acl不匹配:比如一端acl是24位的,另外一端acl是32位的,只能32位一端能主动发起vpn;如果24位主动发起的,vpn是不能被建立的。 在建立IPSec过程中,两端会交换ACL来匹配,比如 A端 acl 32位 ----> B端 acl 24位     协商成功 B端 acl 24位 ----> A端 acl 32位     协商不成功 路由器上 isakmp默认是开启的,防火墙上 isakmp默认是关闭的。   VPN配置4大块: 路由问题 感兴趣流量 第一阶段策略 第二阶段转换集   出接口要挂map,入接口不一定需要挂map lan2lan配置---路由器和路由器,路由器和pix 清除vpn配置的时候,先摘除map。   防火墙配置vpn时,要注意vpn和nat的重叠问题,vpn的优先级要比nat低;如果vpn中的流量…

    on 安全 VPN 思科

  7. VPN理论8

    VPN封装流程:   VPN协商过程:     1,路由 2,列表 3,策略 4,调用   路由问题: 通讯点:需要知道对端通讯点路由 加密点:需要知道对端加密点及两端通讯点路由   列表问题: 如果被列表匹配,只有两种解决方案: 1,加密出去, 2,没有完成加密丢弃   调用问题: 应该选择在所有可能的路由出接口调用。   Ipsec vpn 协商及封装过程: 1,从R1去往R6发起vpn流量   ping 6.6.6.6 so 1.1.1.1 2,查看路由表,经由2到3 3,…

    on 安全 VPN 思科