① 防火牆和路由器配置ipsecvpn的區別
防火牆和路由器在IPsecvpn上的區別:
防火牆不支持show crypto isakmp policy命令,首先要啟用ISAKMP策略然後show run crypto。查看管理鏈接策略配置show run
防火牆默認使用更高的管理鏈接策略,默認使用加密演算法3des,DH組2,設備驗證方法為預共享密鑰,默認HASH演算法以及生存周期為sha-1和86400秒
而路由器可以使用show crypto isakmp policy來查看管理鏈接策略配置
默認管理鏈接策略為加密演算法des,Dh組1,設備驗證方法為RSA簽名,默認hash演算法sha-1生存周期86400
注意:
當對等體為路由器防火牆混搭時,如果採用默認策略,由於策略不一致,所以無法
連接
另外在數據連接建立的策略配置中,路由器只支持ESP,而路由器默認使用AH是不行的
7.0版隧道組共享密鑰特性的引入,不算配置上的差異,而且防火牆仍然支持crypto isakmp key密鑰字元串 address 對方對等體ip地址
命令如下:
Tunnel-group200.0.0.1 type ipsec-121
Tunnel-group200.0.0.1 ipsec-attributes
Pre-reshared-keybenet
埠安全級別對VPN的影響:
另外由於安全特性,默認防火牆的流量是不能在同一安全級別的埠間傳輸的,
如果需要同安全級別的埠通信,需要如下命令
Sam-security-trafficpermit intra-interface多用於與L2L會話的中心設備,比如總公司與多個分公司VPN通信的情況,分公司之間默認不能直接通信
② CISCO ipsecvpn 如何結合qos來配置
IPSECVPN只是搭建起來橋梁。QOS都很隨意了, 我們都是起了IPSEC之後再起個普通的GRE,在GRE上做QOS
③ 【RG-WALL 1600】wall 1600PC到網關的ipsec vpn如何配置
一、組網需求: 1、北京總部的內部網路地址是9.9.9.0/24,北京防火牆的地址是192.168.33.38。出差員工撥號獲得的地址是192.168.33.33,VPN地址是8.8.8.8. 2、實現在外出差的同事能隨時隨地通過PC撥入公司的vpn來訪問內網的資源. 3、VPN參數 IKE階段的參數(以下參數兩端必須配置一致): 身份驗證方式為:預共享密鑰 預共享密鑰:ruijie123 hash演算法為:sha1 DH演算法:5 IPSEC變換集參數(以下參數兩端必須配置一致): 用ESP方式建立VPN 採用野蠻模式 需要走VPN的流量: 9.9.9.0/24到8.8.8.0/24二、組網拓撲: 三、防火牆配置要點: 1、上網基本配置 2、啟用VPN功能 3、配置IKE階段參數 4、配置ipsec變換集參數 5、配置安全規則 放通IKE服務的包過濾,且移動到安全規則的第一條。 放通感興趣流的包過濾,且讓基走VPN隧道。四、防火牆配置步驟 : 1、上網基本配置--參見上網配置章節 PC能成功撥上VPN的前提是PC與防火牆的網路連通性是好的。 2、啟用VPN功能 菜單>>VPN配置>>ipsecVPN>>基本配置>>啟用VPN功能。 3、配置VPN端點 菜單>>VPN配置>>ipsecVPN>>VPN端點, 配置認證方式為預共享密鑰,密鑰為:ruijie123; IKE演算法模式為野蠻模式,本地ID:a(自定義),對方ID:b(自定義),只要與客戶端的一致即可 開啟遵守客戶端提案 其他保持默認值。 4、配置VPN隧道 菜單>>VPN配置>>ipsecVPN>>VPN隧道,配置如下 5、菜單>>安全策略>>安全規則>>添加, 放通IKE服務 配置需要走VPN的感興趣流。 五、 客戶端配置 1、客戶端授權 用pc做為客戶端撥入ipesc需要輸入注冊碼.這個注冊碼並非後台可以申請的,是需要在一個usb的電子鑰匙中生成.此USB需要另外購買。 2、客戶端安裝 安裝VPN 客戶端雙擊 RG-WALL VPN 客戶端.exe (此軟體可致電4008索要) 雙擊安裝文件後顯示准備安裝程序請等待 顯示歡迎界面,然後點擊【下一步】根據提示點擊:下一步 下圖中選擇我「接受許可證協議中的條款」,然後點擊【下一步】上圖中選擇安裝的路徑:可以直接選擇【下一步】 ,那麼 VPN客戶端安裝在默認路徑下;如果想更改該路徑,那麼可以選擇【更改】,然後選擇你自己想安裝的路 徑(文件)下,然後點擊【下一步】 重啟 安裝完成後系統會提示:是否重啟計算機,那麼選擇重新啟動計算機,然後點擊【完成】。如果不重啟計算機,那麼 VPN 客戶端在當前狀態下無法使用 3、客戶端配置 啟動VPN 客戶端,進入客戶端界面,界面下方點擊添加,進行客戶端的配置 遠程網關地址:該地址就是客戶端與防火牆連接的地址(在防火牆 VPN 隧道中配置的本地網關地址); 遠程網路地址:點擊新建進行添加,輸入對方保護子網的地址; 共享密鑰:密鑰就是防火牆端點中配置的密鑰,兩者必須一樣(以本為例是 ruijie123); 本地ID:就是在防火牆中配置的對方 ID,兩者必須一致; 將啟動時自動建立隧道勾選上,然後點擊高級,進行下一步配置 ,點擊高級,進入高級配置頁面 野蠻模式+密鑰方式的默認情況下不需要修改,僅需要配置建立隧道時的虛 IP地址即可 勾選獲取虛擬 IP地址,點擊設置進行配置; 服務端和客戶端都要選擇野蠻模式. 4、vpn客戶端連接 回到客戶端界面,點擊連接後會彈出一個啟動信息框,如果信息中出現協商成功後(此對話框在協商成功 2 秒後自動消失),那麼隧道就建立成功了,即就可以訪問對端內部子網了。 六、配置驗證: 本地電腦IP地址
④ 求一份關於網路安全配置伺服器的端到端IPSEC VPN實驗心得
IPSec
VPN端到端技術
Seclarity最近發布的網卡,集成了Peer
to
Peer的VPN功能,從而能夠以一種新的方式為區域網和廣域網路提供安全性。Seclarity的新產品包括乙太網卡和無線區域網卡,在這些網卡中集成了IPSec
VPN的終端,從而能夠讓計算機和計算機之間建立起安全的IP通道。這種PC到PC(伺服器)的全程加密連接,安全性更高。
要實現在網路中的端到端安全,需要用戶在PC機中添加Seclarity公司的硬體產品——SiNic。而正常的運轉還需要Seclarity的Central
Command
Console軟體幫忙。Central
Command
Console是一個集中設置策略、分布執行的架構。在網路中需要有一個伺服器運行這一軟體,在這個伺服器上,有該軟體的圖形配置界面、資料庫。網路管理人員集中的在這一伺服器上進行設置,相關的策略將存儲在伺服器的資料庫中。這一方案給一些如銀行這樣對安全要求非常高的企業提供了安全的、易於實施的區域網方案。
推薦理由
一些對安全要求很高的用戶對端到端(PC到伺服器)加密的要求由來已久,而且這也將是大勢所趨,特別是網路社會跨入IPv6時代以後。Seclarity的產品提供了端到端IPSec
VPN的解決方案順應這一大方向。今天來看,用戶獲得Seclarity的端到端VPN方案,需要付出的代價是採用新的網卡。但是這也代表著一個趨勢,未來的計算機系統,網卡需要承擔更多的工作,降低對CPU的壓力,就像今天很多網卡可以做到的TCP/IP的Off
load。
另一個推薦理由是,該產品是基於用戶信息提供安全策略,集中配置和分發執行。這比固化在網卡中要好,更貼合實際的管理運營需要。過去WLAN的安全方案僅僅依賴在網卡上設置WEP、SSID,一方面是管理上不方便,另外一旦網卡丟失,也會帶來新的安全隱患。
Seclarity端到端VPN設備
■
關鍵特性
集中的安全策略設定,提供PC到PC的端到端安全通信能力,利用網卡硬體提供安全通信特性。用戶需要安裝新的硬體設備。
■
應用領域
對區域網、廣域網安全有高要求的用戶。
⑤ Router OS 全攻略的目錄
第1章 安裝ROHter OS
1.1 ROS概述基礎
1.2 安裝ROS
1.2.1 安裝VMware虛擬機軟體
1.2.2 虛擬機的基本設置
1.2.3 安裝ROS操作系統
1.2.4 獲取授權文件
第2章 ROS基礎
2.1 ROS命令行
2.2 使用WinboX
2.2.1 配置Winbox
2.2.2 更新授權
2.2.3 刪除及添加模塊
2.2.4 升級ROS
2.3 介面管理
2.4 實驗拓撲
2.4.1 ROS配置
2.4.2 配置WindowsServer
2.5 Setup命令
2.6 DHCP
2.7 ADSL接入
第3章 NAT和路由
3.1 動態NAT
3.2 靜態NAT
3.3 構建思科路由和交換機架
3.3.1 拓撲
3.3.2 安裝Dynamips
3.3.3 Dynamips的使用方法
3.3.4 設計Dynamips的拓撲
3.4 路由
3.4.1 直連路由
3.4.2 靜態路由
3.4.3 默認路由
3.4.4 單臂路由
3.4.5 動態路由
3.4.6 恢復ROS配置
第4章 PPPoE
4.1 PPPoE服務
4.2 RADIUS計費
4.3 搭建用戶自助平台
4.3.1 安裝IIS
4.3.2 配詈Web站點
第5章 VPN
5.1 VPN基礎知識
5.1.1 VPN優點
5.1.2 VPN分類
5.1.3 實驗拓撲
5.2 站點到站點VPN
5.2.1 PPTPVPN
5.2.2 IPSecVPN
5.3 遠程訪問VPN
5.3.1 配置遠程訪問VPN
5.3.2 使用RADIIJs計費
5.3.3 VPN借道訪問
第6章 速率控制
6.1 隊列類型
6.2 簡單隊列
6.2.1 單個IP限速
6.2.2 網段限速
6.2.3 隊列執行順序
6.2.4 配置突發
6.2.5 連續多個IP限速
6.2.6 PCQ動態限速
6.3 隊列樹配置
6.4 網吧應用示例
第7章 腳本生成器
第8章 路由器的安全
8.1 防止外部訪問路由器
8.2 管理路由器配置文件
8.3 導出和導入命令
第9章 防火牆配置
9.1 設置專業防火牆規則
9.2 防火牆過濾規則詳述
9.3 防火牆應用示例
9.3.1 防止二級代理
9.3.2 限制TCP連接數
9.3.3 七層協議過濾
9.3.4 內部用戶上網管理
第10章 熱點服務
10.1 熱點服務詳述
10.2 配置熱點服務
第11 章日誌
11.1 ROS系統日誌
11.2 ROS用戶訪問日誌
第12 章多出口應用
12.1 搭建環境
12.2 根據目的IP地址雙線分流
12.3 根據建立連接雙線分流
12.4 根據源IP地址雙線分流
第13 章無線配置
13.1 配置無線路由
13.2 無線漫遊
13.3 橋接有線和無線網卡
13.4.增強無線網卡的功率
13.5 無線遠距離傳輸
第14 章用戶管理
14.1 UserManager
14.2 認證計費
第15章 高級協議
l5.1 VRRP
15.1.1 VRRP介紹
15.1.2 VRRP實驗
15.2 EoIP
15.2.1 互聯遠程網路
15.2.2 橋接遠程網路
15.3 動態路由協議
15.3.1 靜態路由與動態路由
15.3.2 管理距離
15.3.3 路由選路原則
15.3.4 距離矢量和鏈路狀態路由協議
15.4 RIP
15.5 OSPF
15.6 MPLS
第16章 小型應用
16.1 ARP的攻、判、防
16.2 NTP
16.2.1 NTP客戶端
⑥ VPN虛擬專網的VPN虛擬專網的良好屬性
不管部署哪種架構,我們有很多配置選項可用於鎖定VPN虛擬專網平台及其提供的功能。所有VPN虛擬專網部署應該具備下面這些特性:
身份驗證和訪問控制:SSL VPN使用SSL/TLS證書來對端點進行身份驗證,以創建一個加密通道,然後通常還會提供一個web界面,支持密碼或多因素方法(令牌、客戶端證書或一次性密碼或代碼)的傳統身份驗證。IPSecVPN通常預配置了網關和客戶端之間的身份驗證選項,遠程用戶可以提供用戶名和密碼、令牌代碼等來驗證身份。
驗證終端設備安全和可信度:在過去幾年,VPN產品逐漸增加了終端設備安全評估功能。很多VPN現在可以確定終端設備的操作系統、補丁修復水平、瀏覽器版本和安全設置,以及是否安裝了反惡意軟體(還有部署了什麼簽名版本)。
機密性和完整性:SSL VPN支持分組密碼和流加密演算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進行加密。這兩種類型的VPN都支持哈希密碼進行完整性驗證,並且都有不同的方法來檢測數據包篡改和重放攻擊—通過序列號和哈希或消息身份驗證。
⑦ 華為防火牆IPsecVPN配置命令是什麼急啊。。。
你可以去H3C官方網站的服務支持-文檔中心-查找路由器的文檔。
這種命令行配置的路由器建立ipsec
vpn
關鍵點很多。沒有這塊基礎的普通用戶很難自己搞定。
建議找代理商解決。
另外從網上找了點資料,你看看有沒有用。
給你個ipsec
over
gre
的腳本,自己研究下
ike
peer
center
/配置到中心的ike
peer/
exchange-mode
aggressive
/設置IPSec為野蠻方式/
pre-shared-key
abc
/預共享密鑰為abc/
id-type
name
/選擇名字作為ike協商過程中使用的ID/
remote-name
center
/對端的名字為center/
remote-address
10.0.0.1
/對端的地址為10.0.0.1(中心的tunnel地址)/
#
ipsec
proposal
1
/定義ipsec
proposal/
#
ipsec
policy
branch1
10
isakmp
/配置到中心的ipsec
policy/
security
acl
3001
/指定安全策略所引用的訪問控制列表號/
ike-peer
center
/引用ike
peer/
proposal
1
/引用ipsec
proposal/
#
acl
number
3001
/定義從分部1到中心的內網數據流/
rule
0
permit
ip
source
192.168.2.0
0.0.0.255
destination
192.168.1.0
0.0.0.255
#
interface
Serial2/0
link-protocol
ppp
ip
address
202.101.2.2
255.255.255.252
#
interface
Tunnel0
/配置分部1和中心之間的GRE
tunnel/
ip
address
10.0.0.2
255.255.255.252
source
202.101.2.2
destination
202.101.1.2
ipsec
policy
branch1
/在tunnel
0上應用IPSec
policy
branch1/
#