« Back
in 安全 VPN 思科 read.

VPN实验杂记三

1.disabling xauth for static ipsec peers

2.ezvpn 添加xauth userid mode http-intercept

3.tunnel 分割的DNS

4.check on claer-text packets 解密后流量在set ip access-group 151 in这里放

5.DF 老的IP头部和新产生的IP头部DF位的关系

6.ezvpn 12.4以前不支持证书,12.4以后要支持证书需要加上第一阶段策略

7.invalid spi recovery 错误的SPI回馈

8.show crypto session 包括了第一阶段、第二阶段信息

9.clear crypto session 清除所有关联信息

10.IPsec Qos 将加密前和加密后的qos信息关联起来

11.IPSec auti-replay window调整窗口大小

12.DPD 按需的keeplive (通信中断,开始发送dpd)

13.NAT-T (UDP 4500,用来穿越PAT,三种技术:1.NAT-T port:4500 2.NAT-TCP port:10000 3.NAT-UDP port:10000)

NAT-T技术对比

14.IPSec preferred peer 首选Peer

15.IPSec virtual tunnel interface 因为IPSec vpn没有接口,所以不能在IPSec VPN环境下跑路由,也就出现了GRE over IPSec这样的技术。

16.VPN accouting

17.L2TP Security 不需要像从前一样再做VPN配置了。

18. Pre-fragmentation for IPSec VPN 分片和加密的顺序,默认应该是先分片后加密。

19.real-time resolution 时时 set peer host-name (dynamic)

20.stateful failover for IPsec  会把所有的关联信息同步

21.Vrf aware IPSec 是IPSec拨入GSR,由AAA推送策略访问MPLS VPN的技术

22.Web vpn

23.tracking 通信点之间的探测,可以设置使用什么协议进行探测

24. RRI 反向路由注入的条件:1).peer 2).感兴趣流的目的

12.3:如果使用静态的crypto map,不管vpn是否建立,路由会一直注入到路由表中;使用动态crypto map,路由会在vpn建立后注入到路由表中。

12.4:VPN未建立时,默认情况下,不管是动态还是静态crypto map,都不会有路由注入。

25. isakmp keepalive的问题

26. dmvpn问题:tunnel key的作用 ; eigrp 水平分割、下一跳自己