cisco安全、vpn等知識匯總

安全知識一、 網(wǎng)絡(luò)安全CIA三角模型私密性：邏輯和物理的限制完整性：出來沒有修改 源認(rèn)證高可用性：數(shù)據(jù)能夠持續(xù)被訪問二、 安全的定義私密性：也就是加密，防止除了各地老師以外的其他人員能夠看到這個(gè)版本完整性：確保版本在傳輸過程中是沒有被篡改的源認(rèn)證：各地老師要確保收的版本是我發(fā)的而不是其他偽裝源發(fā)的不可否認(rèn)性：我不能事后否認(rèn)發(fā)送過版本給各地老師三、 防火墻的定義 防火墻是一個(gè)連接兩個(gè)或多個(gè)網(wǎng)絡(luò)區(qū)域，并且基于策略限制區(qū)域間流量的設(shè)備組織威脅從一個(gè)區(qū)域蔓延到其他區(qū)域1、 區(qū)域類型內(nèi)部 默認(rèn)安全級別為 100 外部 默認(rèn)安全級別為 0 dmz 隔離區(qū)域 默認(rèn)安全級 別為 0 高安全級別可以訪問低安全級別的區(qū)域，但是低安全級別不能訪問高安全級別區(qū)域 dmz 區(qū)域用來放置一些服務(wù)器2、 防火墻的技術(shù)1、 包過濾 特點(diǎn)： 基于靜態(tài)包頭信息，限制進(jìn)入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包2、 應(yīng)用層代理 特點(diǎn)：處理速度慢（對數(shù)據(jù)包深度檢測） 對設(shè)備的性能要求也 高 數(shù)據(jù)包的處理效率也是要降低的 但是安全性比較高防火墻必須定時(shí)更新進(jìn)程，否則防火墻沒有辦法去代理新的服務(wù)3、狀態(tài)包過濾 特點(diǎn)： 轉(zhuǎn)發(fā)效率比較高（基于狀態(tài)化表象轉(zhuǎn)發(fā)數(shù)據(jù)） 能夠感知 應(yīng)用層，能動(dòng)態(tài)打開服務(wù)端口 安全強(qiáng)度稍差與代理防火墻四、包過濾的工作過程TCP已建立連接的返回包穿越防火墻外網(wǎng)接口，檢測tcp的flag位有ack字樣，acl就會認(rèn) 為這是已經(jīng)建立連接的返回包。

tcp 三次握手建立連接 （請求 發(fā)送 回應(yīng)）syn————》syn+ackA 《 ———— Back————》TCP是一個(gè)面向連接，每發(fā)送一個(gè)數(shù)據(jù)包，都要收到一個(gè)ACK確認(rèn)，如果沒有收到， 就一直發(fā)包，直到收到ACK確認(rèn)包為止，確保每一個(gè)數(shù)據(jù)包發(fā)送回到目的地（前提：tcp 連接建立好了）五、 應(yīng)用層代理的工作過程1、客戶端發(fā)送請求到 ALG 2、ALG 從新封裝發(fā)送給服務(wù)器 3、服務(wù)器回應(yīng) 4、ALG 從新封裝回應(yīng)給客戶端六、 狀態(tài)包過濾的工作過程當(dāng)內(nèi)網(wǎng)的流量去訪問外網(wǎng)的時(shí)候會經(jīng)過防火墻，防火墻會對內(nèi)網(wǎng)流量進(jìn)行狀態(tài)化信息記 錄，而這些狀態(tài)化信息記錄都存放在他的狀態(tài)信息表里，當(dāng)外網(wǎng)的流訪問內(nèi)網(wǎng)時(shí)，到達(dá)防火 墻會查看狀態(tài)信息表，如果有則直接轉(zhuǎn)發(fā)到內(nèi)網(wǎng)，如果沒有則不能直接轉(zhuǎn)發(fā)到內(nèi)網(wǎng)failover 故障切換 故障倒置包含： A/A A/S七、 PIX支持功能：a. 私有的操作系統(tǒng)b. 狀態(tài)化的包過濾：源目ip；源目端口號；序列號；flagc. 穿越用戶認(rèn)證d. 應(yīng)用層感知的監(jiān)控系統(tǒng)：1.保證協(xié)議正常工作2?應(yīng)用程序安全e. 模塊化的策略：l.inspect:改變端口的時(shí)候起作用，現(xiàn)在可以基于acl或者vpn的流量 做監(jiān)控 2.IPs 3.policyf. vpn:pix集成了幾乎所有vpn3000的功能g. 多模式防火墻：多個(gè)不同的模塊，65防火墻模塊繼承而來h. failover 性能（時(shí)效性恢復(fù)功能）i. 透明防火墻：對于3層來說是透明的j. 圖形化界面：SDM （IOS）, ASDM （PIX ASA）， ISDM（IPS）八、.ASA特性：CISCO防火墻型號大部分都軟件區(qū)別，硬件是一樣的。

a. 狀態(tài)監(jiān)控包過濾b. 穿越用戶訪問網(wǎng)絡(luò)驗(yàn)證（ip直接訪問不安全，容易偽裝ip）c. 應(yīng)用層過濾（不是為了做ACL ,而是URL過濾,FTP上傳下載的文件名,msn只能傳文件， 不能玩游戲，等高級控制功能）d. MPF模塊化安全策略（qos） ——MQC:MQC（Modular QoS ）:模塊化QoS命令行接口， 在Cisco IOS 12.0⑸T版本中被引用.通過做MQC來實(shí)現(xiàn)監(jiān)控，限速， QOS 等等e. 強(qiáng)大的vpn功能：IPSEC VPN （遠(yuǎn)程撥號VPN強(qiáng)大，如果是站點(diǎn)到站點(diǎn)還是用路由器）SSL VPNf. IPS硬件模塊（兩個(gè)模塊：AIP-SSM -入侵防護(hù) CSC-SSM---防病毒，URL,防垃圾郵件來擴(kuò)展功能）g. 多模式防火墻（虛擬防火墻）最獨(dú)特的功能，做很多子防火墻（虛擬化）h. FO 可用性主備用i. 透明防火墻（就是二層交換機(jī)） 防火墻基于路由表 來轉(zhuǎn)發(fā)數(shù)據(jù)表j. 圖形化界面網(wǎng)管（ASDM）： SDM （IOS）, ASDM（PIX ASA）， ISDM（IPS）九PIX與ASA的區(qū)別：版本都能支持8.03考試版本，以下都是PIX沒有的功能——最新的8.3幾SSLVPNSSM （PIX 沒有這個(gè)槽位不能擴(kuò)展功能）支持VPN族和負(fù)載均衡5520開始有這個(gè)功能CF 卡 （擴(kuò)展 FLASH）AUX 口十.PIX產(chǎn)品的授權(quán)：l 版本的授權(quán)：1.UR :非限制版2.Restricted：限制版。

1. 只能夠支持 3 個(gè)物理口2?只支持內(nèi)存64M的內(nèi)存3. 不能夠做 failover3. Active/standby failover 版本4. Active/active failover 版本最便宜的做法是拿一個(gè)UR和一個(gè)FO做failover金牌可以將failover自己生成UR的產(chǎn)品來賺取之間的利潤從中差價(jià)很大單獨(dú)的FO沒 有用處2、加密的授權(quán)所有人都可以免費(fèi)得到DES的授權(quán)理論上只有北美和加拿大才有3DES的授權(quán)中國不可以但是中國市場上有多模式 防火墻的授權(quán)R 限制版不支持多模式防火墻UR非限制版默認(rèn)有2個(gè)多模式防火墻的授權(quán)但是最多可以買50個(gè)的授權(quán)mpf 模塊化安全策略 包擴(kuò)四個(gè) G 口模塊 ips 模塊 AIP SSM 模塊 CSC SSM 模塊 （放病毒 URL 過濾 放垃圾郵件）透明防火墻：二層防火墻 一般在 公司的內(nèi)網(wǎng)已經(jīng)確定好 在分割的時(shí)候 不想改變網(wǎng)段 把防火墻的路由模式改成透明模式，這樣防火墻純粹屬于一個(gè)二層的防火墻 這樣就實(shí)現(xiàn)了一個(gè)過濾的功能透明防火墻是二層防火墻技術(shù)1. 只能有兩個(gè)接口，2. 如果兩個(gè)接口都接交換機(jī)，兩個(gè)接口必須要化到不同的 vlan 中3. 支持多模式防火墻5.防火墻的安全策略:? dmz：非軍事區(qū)，安全級別居中50,適合放為內(nèi)部和外部服務(wù)的服務(wù)器及VPN設(shè)備。

同 時(shí)可以存在多個(gè)DMZDMZ—般放在第三接口上，也可以放在兩個(gè)防火墻之間如果 沒有 DMZ?????）? Outbound流量：由高安全級別到低安全級別? Inbound流量：由低安全界別到高安全級別從高安全接口到低安全接口是完全可以的，但是從低安全接口到高安全接口是不可以的，除 非用訪問列表放掉避免安全級別相同，相同安全級別端口默認(rèn)不通，可以用命令激活防火墻的 acl由低安全級別區(qū)域去訪問高安全級別區(qū)域叫做inbound 由高安全級別區(qū)域去訪問低安全級別區(qū)域叫做outbound路由器上的和防火墻上訪問控制列表的相同點(diǎn)個(gè)不同點(diǎn)?相同點(diǎn)： 1、訪問控制列表隱藏的默認(rèn)還是拒絕2、 訪問控制列表的順序由上到下一次匹配3、 針對數(shù)據(jù)包的源ip去過濾數(shù)據(jù)包不同點(diǎn)：1、防火墻上的acl只控制穿越防火墻的流量 對抵達(dá)防火墻的流量是不起作用的2、 只對初始化的數(shù)據(jù)包起作用 防火墻內(nèi)部出去的流量依舊可以返回路由器從內(nèi)網(wǎng)出去的流量返回的時(shí)候就會被干掉防火墻上不指定訪問控制的類型的話，默認(rèn)為擴(kuò)展的訪問控制列表inactive 暫時(shí)性的不活躍 可以暫時(shí)性的使一個(gè)條目失效rename 可以對訪問控制列表改名字remask 可以對訪問控制列表做注釋l 時(shí)間 ACLtime range 123 （名稱）absolute start 00:00 1 August 2004 end 00:00 30 august 2004 絕對時(shí)間periodic weekdays 8:00 to 17:00 周期性時(shí)間static （dmz,outside） 192.168.0.6 172.16.0.6access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range 123l 對抵達(dá) （對穿越的沒有作用）防火墻的 icmp 進(jìn)行控制，方向是只能是 in 方向 icmp deny any echo outsideicmp 拒絕從源為任何地址，目的為 outside 接口的 echo-request 流量。

默認(rèn)后面有一個(gè) deny 所有流量的列表icmp permit any outside ---其他的抵達(dá) outside 流量全部放行Nat-control? OS >7.x 默認(rèn)no nat-control□? OS <7.x 默認(rèn)nat-controlp? Nat-control一旦啟用,沒有n?t不能穿越FVV口? No WtYO?著程験蠶幽劇齢前提下，無 需Wt也能穿越FWNAT 網(wǎng)絡(luò)地址轉(zhuǎn)換ASA nat動(dòng)態(tài)NAT :—對一，多對一，自己轉(zhuǎn)化自己，(natO)特定流量的NAT(POLICE NAT) 高優(yōu)先級-低優(yōu)先級靜態(tài)NAT:—對一，網(wǎng)絡(luò)靜態(tài)轉(zhuǎn)換，端口轉(zhuǎn)換 低優(yōu)先級--高優(yōu)先級 ACL放行NAT bypass :NAT 旁路NAT 0 +ACL配置1. 動(dòng)態(tài)一對一NAT：(適用于內(nèi)部用戶上網(wǎng))nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0 show xlate 查看轉(zhuǎn)化槽位2、PATnat(inside) 1 10.1.1.0 255.255.255.0global(outside) 1 202.100.1.100 fw1(config)# access-list deny-flow-max 1024 fw(config)#access-list alert-interval120-—120秒以內(nèi)最多出現(xiàn)1024條log顯示，以免攻擊流量所顯示的信息占用太多的資源。

deny不會產(chǎn)生log生成日志同樣名字的 access-list根據(jù)輸入時(shí)間先后順序來用用line1/2/3來區(qū)分，如果想在1和2之間插入一條，那么可以寫入line 2條目，這樣原來的2就變成了條目3.work-object 的配置方法：DMZ區(qū)域有3臺服務(wù)器，每個(gè)服務(wù)器提供http ,https,ftp服務(wù)這樣就會有3條靜態(tài)的nat，和9條acl進(jìn)行配置配置起來很麻煩可以對服務(wù)(http,https,ftp)，或網(wǎng)絡(luò)主機(jī)，或4層協(xié)議(tcp udp),或ICMP類型(echoecho-reply )進(jìn)行歸類對地址進(jìn)行歸類對服務(wù)進(jìn)行歸類同時(shí)調(diào)用地址歸類和服務(wù)歸類：對協(xié)議進(jìn)行歸類對ICMP信息進(jìn)行歸類1. activeX blocking:fw1(config)# filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.02. java applet filtering3. url filter service思科支持兩個(gè)廠商websence和n2h2的url服務(wù)器多模式防火墻多模式防火墻使用場合：1.SP的IDC機(jī)房為不同用戶做不同的防火墻策略2. 大企業(yè)或者學(xué)校，希望部門之間完全的隔離3. 若單模防火墻接口非常多的情況下。

兩種配置模式：1. 系統(tǒng)全局配置模式：創(chuàng)建虛擬防火墻，為每一個(gè)虛擬防火墻關(guān)聯(lián)接口2. 子防火墻配置模式l.adm in虛擬防火墻：因?yàn)橄到y(tǒng)全局配置模式不能為接口配置IP的也不能進(jìn)行網(wǎng)管的，所以有了admin虛擬防火 墻，它把一個(gè)接口虛擬連到自己身上，配置IP地址進(jìn)行網(wǎng)管可以切換到系統(tǒng)全局模式， 也可以切換到其他子防火墻子防火墻也可以配置IP進(jìn)行網(wǎng)管，但是只能網(wǎng)管自己，不能切 換到其他防火墻上2、接口 share模式：一個(gè)接口為多個(gè)虛擬防火墻所公用，配置多個(gè)IP地址，但是MAC地址是唯一的連接用戶 PC的接口不能是share的因?yàn)橛脩羲鶎懢W(wǎng)關(guān)的真正用途是，用戶再封裝數(shù)據(jù)包時(shí)，目的地 址時(shí)網(wǎng)關(guān)的MAC地址這樣數(shù)據(jù)再到達(dá)防火墻后不知道走哪個(gè)路徑所以不能用share模式Failover故障切換A/S FO :備用是閑置 一個(gè)主 一個(gè)備 當(dāng)主運(yùn)行的時(shí)候是備是閑置的A/A FO:網(wǎng)絡(luò)規(guī)劃使兩個(gè)設(shè)備都有流量 兩個(gè)都是主設(shè)備防火墻的熱備就是防火墻的failover 做防火墻的熱備必須具有相同的的條件靠專線來實(shí)現(xiàn)兩個(gè)防火墻的同步串口 f/0 和 lan based f/0pix可以做兩種情況的f/0,asa只能做lan based f/o.因?yàn)槠錄]有串口。

硬件FO：沒有已建連接的copy stateful FO:有已建連接的copy2. 做failover的兩臺設(shè)備的條件：兩個(gè)FO或者一個(gè)UR和一個(gè)F0硬件,接口，必須相同加密授權(quán)必須相同7.0、以上軟件版本可不相同，以下要相同outside與outside必須是二層網(wǎng)絡(luò)inside與inside必須是二層網(wǎng)絡(luò)DMZ和DMZ必須使二層網(wǎng)絡(luò)3. active切換為standb y的過程：如果一段時(shí)間內(nèi)收不至到hello,接口進(jìn)入測試模式：1. 接口是否up2. 有沒有活動(dòng)的網(wǎng)絡(luò)流量3. 做接口的arp測試4. 做廣播的ping.如果都失敗的話，就交出active o4.一個(gè)基于串口 A/S FOserial線纜兩端有標(biāo)識分別是primary和secondaryprimary連接主用，secondery連接備用 不能接加密學(xué)原理凱撒密碼： 最早的加密算法，已經(jīng)被淘汰兩種加密學(xué)對稱密碼學(xué)： 兩個(gè)通訊者之間的密鑰是一樣的，也就是加密是和解密時(shí)的密鑰相同加密算法 des 56位 3des 168位 aes 128位 196位 256bit 從古埃及的時(shí)候就用這種密碼學(xué)密鑰的長度越長，加密的可靠性就越強(qiáng)優(yōu)點(diǎn)：加密速度快，加密后的數(shù)據(jù)不會變大非對稱密碼學(xué)：用戶擁有兩個(gè)對應(yīng)的密鑰 用其中一個(gè)加密，只有另一個(gè)能夠解密， 兩者一一對應(yīng)。

加密算法：DH RSA ECC主要應(yīng)用于3G網(wǎng)絡(luò)缺點(diǎn)：加密速度慢，加密后的數(shù)據(jù)會變大組合加解密過程 也叫做數(shù)字信封使用對稱加密算法進(jìn)行大批量的數(shù)據(jù)加密 ，每次產(chǎn)生一個(gè)新的隨機(jī)密鑰（會話密鑰）使用非對稱加密算法的公鑰對會話密鑰進(jìn)行加密并傳遞，會話密鑰到達(dá)對端 之后，用非對稱加密算法公鑰所對應(yīng)的私鑰 進(jìn)行解密，得出會話密鑰，然后用對稱加密算法的私鑰對會話密鑰進(jìn)行解密，得出所要的 明文數(shù)據(jù)完整性校驗(yàn)md5 sha摘要算法可以驗(yàn)證數(shù)據(jù)的完整性（hash） 散列函數(shù)計(jì)算結(jié)果稱為摘要，同一種算法，不管輸入長度是多少，結(jié)果定長無法從摘要的值反推回原始內(nèi)容，具有單向性，不可逆性不同的內(nèi)容其摘要也不同數(shù)字證書 給自己的本身做一個(gè)證書數(shù)字簽名數(shù)字簽名使用簽名方的私鑰對信息摘要進(jìn)行加密的一個(gè)過程簽名過程中所得到的密文即稱為簽名信息首先將明文信息通過hash算法計(jì)算出一個(gè)摘要，使用發(fā)送方的私鑰對摘要進(jìn)行加密，得到 加密后的摘要，然后再將明文使用接收方的公鑰進(jìn)行加密，到達(dá)接收方時(shí)，使用接收方的 私鑰對密文進(jìn)行解密，得到明文之后通過hash算法計(jì)算出摘要值，然后再將其加密后的摘 要使用發(fā)送方的公鑰進(jìn)行解密，得出摘要值，如果相同則證明是發(fā)送方發(fā)送的。

數(shù)字簽名的功能：保證信息傳輸?shù)耐暾园l(fā)送者的身份認(rèn)證(原認(rèn)證)VPN1、 定義：兩個(gè)內(nèi)網(wǎng)之間跨公網(wǎng)通信，在局域網(wǎng)的邊界設(shè)備做vpn,來實(shí)現(xiàn)內(nèi)網(wǎng)之間的通信2、 vpn的分類2層ATM異步傳輸FR幀中繼3層GRE IPSEC MPLS (服務(wù)商提供的vpn 只支持站點(diǎn)到站點(diǎn)的vpn)vpn的模型站點(diǎn)到站點(diǎn) (l2l site to side) ATM FR GRE遠(yuǎn)程 vpn(REMOTE ACCESS)-----IPSEC,PPTP,L2TP+IPSEC,SSLVPN通信點(diǎn)：vpn本端身后需要加密的網(wǎng)段叫做通信點(diǎn) 對端身后需要加密的網(wǎng)段也叫做通信點(diǎn) 必須知道對端通信點(diǎn)的路由，原因是因?yàn)橐ＷC對端的通信點(diǎn)的路由必須經(jīng)過本端通信點(diǎn) 的出接口加密點(diǎn)；感興趣流經(jīng)過的出接口叫做加密點(diǎn)感興趣流： 通信點(diǎn)到通信點(diǎn)之間的流量叫做感興趣流 邊界設(shè)備只對感興趣流進(jìn)行加密ipsec兩個(gè)安全的承載協(xié)議IPSEC組成部分-----Internet協(xié)議安全性esp （負(fù)載安全封裝）協(xié)議 ---50AH 認(rèn)證頭協(xié)議 51IKE internet密鑰交換協(xié)議esp與AH的區(qū)別1. 封裝格式不一樣esp：頭尾驗(yàn)證 ah：頭2. esp既加密又驗(yàn)證 ah只驗(yàn)證，不加密3. esp能夠穿越nat ah不能夠穿越natipsec兩種模式傳輸模式：加密點(diǎn)等于通信點(diǎn)的時(shí)候?yàn)閭鬏斈Ｊ剿淼滥Ｊ剑耗J(rèn)模式為隧道模式 加密點(diǎn)補(bǔ)等于通信點(diǎn) lan to lan隧道模式也具有傳輸模式的功能ipsec加密算法des 默認(rèn) 3des aesipsec驗(yàn)證md5 128 shal 默認(rèn).ipse兩個(gè)數(shù)據(jù)庫SPD 全策略數(shù)據(jù)庫：決定什么流量將接受ipse處理SADB---安全關(guān)聯(lián)數(shù)據(jù)庫：維護(hù)每一個(gè)SA （安全關(guān)聯(lián)）包含的參數(shù)SA—包含了雙方關(guān)于IKE和IPSEC 已經(jīng)協(xié)商完畢的安全心心（都是又IKE協(xié)議協(xié)商產(chǎn)生的）ike or isakmp sO1雙向的2.決定了 IKE協(xié)議處理相關(guān)的細(xì)節(jié)）IPSEC SA （1.單向的2.決定了具體加密流量的處理方式）ike■辦商的兩個(gè)階段第一階段：建立vpn連接 第二階段：為數(shù)據(jù)包進(jìn)行加密封裝IKE介紹：負(fù)責(zé)建立維護(hù)IKE SA和IPSEC SAIKE負(fù)責(zé)在兩個(gè)IPSEC對等體間協(xié)商一條IPSEC隧道的協(xié)議功能：對雙方進(jìn)行驗(yàn)證交換公共密鑰，產(chǎn)生密鑰資源，管理密鑰協(xié)商協(xié)議參數(shù)（封裝，加密，驗(yàn)證。

在交換后對密鑰進(jìn)行管理IKE的三個(gè)組成部分1. SKEME: 提供為認(rèn)證目的使用的公開密鑰加密的機(jī)制2. Oakle y提供在兩個(gè)IPSEC對等體間達(dá)成相同加密密鑰的基本模式的機(jī)制3.ISAKMP :定義了消息交換的體系接□，包括兩個(gè)IPSEC對等體間分組形式和狀態(tài)轉(zhuǎn)變IKE 包括兩個(gè)階段三個(gè)模式：1.isakmp sa 相互認(rèn)證1. main mode（6 message ） 一般用主模式2. aggressive mode （3 message）為遠(yuǎn)程vpn服務(wù) 主動(dòng)模式（H3C 野蠻）2.ipsec sa （ quick mode 3 message） 選擇加密算法 二階段對端地址固定的時(shí)候用主模式 對端地址不固定的時(shí)候用主動(dòng)模式例如遠(yuǎn)程vpn第一階段ISAKMP（ udp 500）主模式：周期是一天6個(gè)包1 2個(gè)包 選擇安全側(cè)略 3 4個(gè)包選擇加密算法 56個(gè)包 選擇認(rèn)證第二階段IPSEC SA :周期是1個(gè)小時(shí)1.首先把ISAKMP協(xié)商的內(nèi)容發(fā)給對方，進(jìn)行第二次的認(rèn)證2.IPSEC階段的策略協(xié)商3.建立sa .和后續(xù)工作配置i psecvp n的五大步驟1、 iskamp或ike peer驗(yàn)證 （第一階段）2、 ipsec sa策略封裝協(xié)議 ：esp ah工作模式：傳輸模式 隧道模式加密算法：des 3des aes驗(yàn)證算法： md5 shal3、 感興趣流 （擴(kuò)展acl抓流）4、 3個(gè)關(guān)聯(lián)（sa關(guān)聯(lián)）set peer （第一階段）ike sa匹配感興趣流mapset 轉(zhuǎn)換體 （第二階段）ipsec SA5、調(diào)用：物理口 tunnel封裝格式：新源ipesp 源ip新目的ip新目 ipremote VPNgre vpn使用場合：分支與中心必須有固定的IP，且身后都有負(fù)復(fù)雜的網(wǎng)段網(wǎng)絡(luò)1、GRE （通用路由封裝）——47 純粹是為了兩內(nèi)網(wǎng)跟隧道跑動(dòng)態(tài)路由協(xié)議一種隧道協(xié)議，可支持多協(xié)議數(shù)據(jù)，內(nèi)部支持廣播組播。

支持同一站點(diǎn)多個(gè)內(nèi)部局域網(wǎng)的VPN不提供傳輸安全性2采用ip協(xié)議號473、新ip頭部為20個(gè)字節(jié)gre頭部的長度為4?20個(gè)字節(jié)動(dòng)態(tài)map 分支地址不固定 總部地址固定第一階段：分支單向發(fā)起如果分支想和分支通vpn,必須在中心處理之后中轉(zhuǎn)，這樣就需要兩次加解密dmz vpn 動(dòng)態(tài)多點(diǎn)vpn分支之間是按需建立連接的nhrp 嚇一跳解析協(xié)議必須把分支機(jī)構(gòu)的公網(wǎng)地址對應(yīng)得隧道地址告訴中心，中心來進(jìn)行管理，并且中心會把其他分支機(jī)構(gòu)公網(wǎng)ip和隧道接口 ip的對應(yīng)關(guān)系告訴各個(gè)分支機(jī)構(gòu)nhs 中心服務(wù)器REMOTO VPN遠(yuǎn)程撥號vpn （撥號） 位出差人員提供便利第一階段：建立vpn連接 第二階段：為數(shù)據(jù)包進(jìn)行加密封裝地址池需要在網(wǎng)關(guān)設(shè)備上創(chuàng)建一個(gè)地址池，遠(yuǎn)程設(shè)備獲取poo 1里的地址作為源與內(nèi)網(wǎng)通信用戶組反向路由注入ezvpnEZVP N是IPSEC VPN的一個(gè)易用技術(shù)，它的主要思想源于cisco remoteVPN為了簡化客戶端的配置cisco把這種思想引入到了 client端路由器上名字叫EZVPN但是easy只是客戶端簡單中心站點(diǎn)還是remote vpn配置EZVP N主要適用于一些小型的站點(diǎn)，例如：小超市，小的服裝專賣店，或者彩票點(diǎn)。

他們 的網(wǎng)絡(luò)很簡單，地址是動(dòng)態(tài)獲得的只有身后的直連網(wǎng)絡(luò)，不需要什么動(dòng)態(tài)路由協(xié)議，并 且客戶端維護(hù)人員基本不懂任何vp n的這樣的網(wǎng)絡(luò)非常適合使用EZVP N這個(gè)技術(shù)mode兩種模式： client獲取到一個(gè)IP，身后的網(wǎng)段都通過PAT,轉(zhuǎn)化到這個(gè)IP，再來訪問中心內(nèi)網(wǎng)服務(wù)器的network--plus網(wǎng)絡(luò)擴(kuò)展模式，能獲取到IP，不作轉(zhuǎn)化，僅僅用作中心網(wǎng)管client路由器的作用vpn特性反向路由注入在HA(高可用性) VPN的情況下需要在GW1和GW2上同時(shí)啟用RRI，只有當(dāng)remotevpn成功撥上以后才能產(chǎn)生32位的主機(jī)路由，這個(gè)時(shí)候在GW1和GW2同時(shí)運(yùn)行內(nèi)部的動(dòng)態(tài) 路由協(xié)議，把RRI產(chǎn)生的主機(jī)路由重分布進(jìn)入內(nèi)部的動(dòng)態(tài)路由協(xié)議，正確的引導(dǎo)流量返回re mote vpn主機(jī)RRI的路由并不是同時(shí)產(chǎn)生的，只會在remotevpn撥上的路由器上產(chǎn)生，所以不會造成內(nèi)部路由的混亂keepliveISAKMP keepalive作用在于探測當(dāng)前IPSECvpn的可用性之前各種VPN都沒有啟用這個(gè)特性默認(rèn)情況TIPSECVPN沒有保活機(jī)制的IPSECVPN的超時(shí)時(shí)間為一小時(shí)，如果VPN的中間設(shè)備出現(xiàn)故障，那么在VPN超時(shí)時(shí)間以前，VPN的流量都會被丟棄。

也就是說會出現(xiàn)一方有加密的包，另一方卻沒有解密的包VPN 的SA也只有等足一小時(shí)才能重新建立特別是在HAVPN和備用鏈路VP N的時(shí)候更需要啟用這個(gè)特性要求VPN兩端接口要同時(shí)啟用當(dāng)啟 用了此feature以后Isakmp keepalive會從SA協(xié)商時(shí)開始周期發(fā)送DPD (dead peerdetection )包如果沒有回包，則說明peer已經(jīng)斷掉，那么會立即協(xié)商SAvpn熱備分為鏈路備份和設(shè)備備份鄰居peer鏈路備份是需要設(shè)置反向路由注入ip需要本端物理接口的ip地址，先指哪個(gè)就先走哪一個(gè) 設(shè)備備份需要做hsrp和反向路由注入鄰居的ip地址應(yīng)該只本端虛擬網(wǎng)關(guān)的ip地址。