请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: vsop5207

【跟我一起读】Cisco ASA 设备使用指南(第3版)

[复制链接]
 楼主| 发表于 2018-1-10 15:59:34 | 显示全部楼层
one 发表于 2018-1-10 08:04
9. 站点到站点IPSec VPN 建立有哪些步骤?第一阶段有主模式和积极模式2种

主模式执行3步,6 ...

   不错,谢谢分享!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-10 16:06:15 | 显示全部楼层
9. 站点到站点IPSec VPN 建立有哪些步骤?
IKEv1协商阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。IKE SA是一个双向的逻辑连接,两个IPSec对等体间只建立一个IKE SA。

IKEv1协商阶段1支持两种协商模式:主模式(Main Mode)和野蛮模式(Aggressive Mode)。

主模式包含三次双向交换,用到了六条ISAKMP信息,协商过程如图1所示。这三次交换分别是:
1.消息①和②用于策略交换
发起方发送一个或多个IKE安全提议,响应方查找最先匹配的IKE安全提议,并将这个IKE安全提议回应给发起方。匹配的原则为协商双方具有相同的加密算法、认证算法、认证方法和Diffie-Hellman组标识。

2.消息③和④用于密钥信息交换
双方交换Diffie-Hellman公共值和nonce值,用于IKE SA的认证和加密密钥在这个阶段产生。

3.消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证和对整个主模式交换内容的认证。
野蛮模式只用到三条信息,前两条消息①和②用于协商IKE安全提议,交换Diffie-Hellman公共值、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。

与主模式相比,野蛮模式减少了交换信息的数目,提高了协商的速度,但是没有对身份信息进行加密保护。虽然野蛮模式不提供身份保护,但它可以满足某些特定的网络环境需求:
  • 如果发起方的IP地址不固定或者无法预知,而双方都希望采用预共享密钥验证方法来创建IKE SA,则只能采用野蛮模式。
  • 如果发起方已知响应方的策略,或者对响应者的策略有全面的了解,采用野蛮模式能够更快地创建IKE SA。

第二阶段协商
IKEv1协商阶段2的目的就是建立用来安全传输数据的IPSec SA,并为数据传输衍生出密钥。这一阶段采用快速模式(Quick Mode)。该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。

IKEv1协商阶段2通过三条ISAKMP消息完成双方IPSec SA的建立:
  • 协商发起方发送本端的安全参数和身份认证信息。
    安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。
  • 协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
    IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。
    如果启用PFS 则需要再次应用DH算法计算出一个共享密钥,然后参与上述计算,因此在参数协商时要为PFS协商DH密钥组。
  • 发送方发送确认信息,确认与响应方可以通信,协商结束。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-10 16:13:32 | 显示全部楼层
11.  请分享一个或者多个你处理过的VPN 故障案例!
之前处理SSL VPN 的一个故障,anyconnect   无法安装或者安装了无法启动的故障
故障:



解决方法:


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-10 16:14:50 | 显示全部楼层
在分享一个VPN 故障
anyconnect vpn 配置完成后客户端拨号不上去,报错:

Error: "Login Denied , unauthorized connection mechanism , contact your administrator"

解决方法:adding the following commands:

tunnel-group VPN_SPO_ARTERIS webvpn-attributes

group-alias VPN_SPO_ARTERIS

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-11 09:11:53 | 显示全部楼层
站点到站点IPSec VPN 建立有哪些步骤
1 启用isakmp
2 创建isakmp策略
3 设置隧道类型
4 定义 IPSEC策略
5配置加密集
6 流量过滤器
7 nat免除
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-11 09:17:16 | 显示全部楼层
SSL VPN
自定义web页面,配置标签,端口转发,安全桌面等。。。。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-11 09:23:20 | 显示全部楼层
故障案例
基本都是通过  show crypto ikev2 sa , show crypto ipsec sa ,debug crypto ike???? 这些命令来查看报错,比如两端IP,不一致,密码错误,协商错误等信息
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-11 13:15:33 | 显示全部楼层
站点到站点IPSec VPN 建立有哪些步骤?
1)启用ISAKMP
2)创建ISAKMP策略
3)创建隧道组
4)定义IPSec策略
5)创建加密映射集
6)配置流量过滤器(可选)
7)绕过NAT(可选)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-11 13:31:45 | 显示全部楼层
ssl vpn的客户端不错,用户人群还是蛮多的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-14 23:58:13 | 显示全部楼层
ASA上部署IPSec VPN确实有很多优势,现在很多企业出口都直接用防火墙而不用路由器了。有一个问题想请问:有资料说IPSec VPN的技术规范支持: 用ESP封装方式加密原始IP包时,可以将原IP包内的ToS字段复制到新增的IP头部,从而可以在公网上进行QOS服务质量的控制。具体的不知如何实施?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-4-23 09:41 , Processed in 0.103449 second(s), 52 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表