在配置IPSEC的ISAKMP 时，有几个不太明白。

【答案】：IKE和ISAKMP的不同之处在于：IKE真正定义了一个密钥交换的过程，而ISAKMP只是定义了一个通用的可以被任何密钥交换协议使用的框架。可以说IKE是ISAKMP的实例化。

1、开启密码生效Router(config-line)。2、配置特权模式密码Router(config。3、创建本地用户benet和密码ciscoRouter即可。思科config_isakmp用户模式。以终端或Telnet方式进入路由器时系统会提示用户输入口令，输入口令后便进入了第1级，即用户模式级别。

【答案】：IKE(密钥交换协议)是一个混合型的协议，它由ISAKMP和两种密钥交换协议OAKLEY与SKEME组成。IKE沿用了OAKLEY的密钥交换模式和SKEME的共享和密钥更新技术。

1、什么是VPN，简单点说2、vnp是什么3、vpn是什么？4、什么是vpn？5、大学校园网VPN技术要求有哪些？6、VPN相关技术什么是VPN，简单点说VPN（Virtual Private Network) 又称为虚拟专网服务，它是利用公共网络资源为客户构成专用网的一种业务。可以被当做专网那样使用和管理。拥有同专有网络一样的安全性和可管理性。成本大大低于自建专网的情形。公共网络提供了高的扩展性和灵活性。从技术实现角度来看，也就是MPLS-VPN，即采用多协议标记交换（MPLS）技术在公共IP网络上构建企业IP专网，实现数据、语音、图像多业务宽带连接。vnp是什么血管钠肽;虚拟网络档案;虚拟网络配置文件;功能单体VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。vpn是什么？虚拟专用网络 VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。 网络功能 VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。 在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。 让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为vpn技术了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。 工作原理 通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。 网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。 网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。 网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。 从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。 [1] 通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要vpn技术：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由vpn技术；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。什么是vpn？VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。vpn可以通俗的说成是把两个以上的局域网变成同一个局域网，大家可以共同实现各自网内的资源的共享，就好像在同一个网内。应用方面可以实现ERP、OA、CRM等应用软件的移动办公和异地分公司的使用、协同办公。简单点好像也只能这样说了大学校园网VPN技术要求有哪些？大学校园网VPN技术要求有哪些？正确答案：（1）身份验证。由于已经有了自己的统一身份认证系统，故在VPN方案中，对用户的身份认证必须使用已经存在的用户信息数据，或是直接与该校统一身份认证系统对接进行认证。（2）加密保护。要求能对VPN隧道建立和用户通信都能进行加密，支持预共享密钥、数字证书的身份认证，提供动态密钥交换功能，支持IPSec隧道模式封装和传输模式封装，支持多种加密认证算法。加密速度快，能达到千兆通信，VPN转发能达到200Mbps以上。（3）方便安全的管理。要求在管理上能有多种方式。提供本地网络管理、telnet管理，远程管理等多种管理方式，在以上方式中能对VPN安全策略、访问控制策略等进行调整。（4）DHCP支持。要求能给每一个接入VPN的用户动态分配一个校内IP地址，地址池能在2000个IP以上。并且可以该得到的地址与校内资源进行通讯。（5）多种用户环境支持。支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLEMODEM宽带接入、ISDN拨号接入、普通电话拨号接入、GPRS接入、CDMA接入等多种因特网接入方式。（6）VPN星型互联。由于许多大学有多个校区，且各校区可能有自己的VPN，（或者一个校区内构建不止一个VPN），在VPN建设中希望能将各VPN互联，用户通过接入一个VPN而共享并控制访问其它校区资源。（7）本地网络和VPN网络智能判断。能根据客户端的访问请求，自动选择使用客户本地连接还是使用VPN连接。同时，学校有部份资源实际上放在校外，但必须是以该校IP地址才能访问.（8）联通性要求。VPN接入用户之间、VPN接入用户和远程网络中的用户间都可以通过虚拟得到的IP地址互相通信。（9）应用范围广。可在VPN用户与远程局域网之间应用多种业务。如：语音、图像和数据库、游戏等应用，也可通过共享等方式访问其它计算机资源。（11）符合国家相关法律、标准和安全要求。各VPN设备必须符合我国的技术标准和安全标准。（12）系统可升级性。可以通过对VPN系统升级来适应新的网络应用或是VPN上相关协议或标准的升级。VPN相关技术当您通过Internet使用VPN时，它会在两个设备/网络之间创建专用且加密的隧道。现在作为VPN，你很难对数据进行窃听，即使它被侵入，因为这是数据被加密，从这个加密数据中获取任何信息几乎是不可能的。有几种VPN隧道协议，如PPTP（点对点隧道协议），L2TP（第二层隧道协议），IPSec（Internet协议安全），SSL（安全套接字层）等，用于创建VPN隧道。IPSec实现 工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构；包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换又称isakmp）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。整个IPSec VPN地实现基本简化为两个SA协商完成 SA（security association）：是两个通信实体经协商建立起来地一种协议，它们决定了用来保护数据包安全地IPsec协议，转码方式，密钥，以及密钥地有效存在时间等等 IKE（isakmp）SA： 协商对IKE数据流进行加密以及对对等体进行验证地算法（对密钥地加密和peer地认证）对等体之间只能存在一个第一阶段：建立ISAKMPSA协商的是以下信息：1、对等体之间采用何种方式做认证，是预共享密钥还是数字证书。 2、双方使用哪种加密算法（DES、3DES） 3、双方使用哪种HMAC方式，是MD5还是SHA 4、双方使用哪种Diffie-Hellman密钥组 5、使用哪种协商模式（主模式或主动模式） 6、协商SA的生存期IPSec SA： 协商对对等体之间地IP数据流进行加密地算法 对等体之间可以存在多个 第二阶段：建立IPsecSA协商的是以下信息： 1、双方使用哪种封装技术，AH还是ESP 2、双方使用哪种加密算法 3、双方使用哪种HMAC方式，是MD5还是SHA 4、使用哪种传输模式，是隧道模式还是传输模式 5、协商SA的生存期 名词解释：AH协议（IP协议号为51）： 提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。ESP协议（IP协议号为50）： 提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。 IPSec有两种工作模式：隧道（tunnel）模式： 用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。传输（transport）模式： 只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。 1. 数据认证 数据认证有如下两方面的概念： 身份认证：身份认证确认通信双方的身份。支持两种认证方法：预共享密钥（pre-shared-key）认证和基于PKI的数字签名（rsa-signature）认证。 身份保护：身份数据在密钥产生之后加密传送，实现了对身份数据的保护。 2. DH DH（Diffie-Hellman，交换及密钥分发）算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据，计算出共享的密钥。即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，由于其复杂度很高，不足以计算出真正的密钥。所以，DH交换技术可以保证双方能够安全地获得公有信息。 3. PFS PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。对于IPsec，是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。 IKE的交换过程 IKE使用了两个阶段为IPsec进行密钥协商并建立SA： 第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA。第一阶段有主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方法。 第二阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。如图2-1所示，第一阶段主模式的IKE协商过程中包含三对消息： l 第一对叫SA交换，是协商确认有关安全策略的过程； l 第二对消息叫密钥交换，交换Diffie-Hellman公共值和辅助数据（如：随机数），密钥材料在这个阶段产生； l 最后一对消息是ID信息和认证数据交换，进行身份认证和对整个第一阶段交换内容的认证。 野蛮模式交换与主模式交换的主要差别在于，野蛮模式不提供身份保护，只交换3条消息。在对身份保护要求不高的场合，使用交换报文较少的野蛮模式可以提高协商的速度；在对身份保护要求较高的场合，则应该使用主模式。 IKE在IPsec中的作用 l 因为有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。 l IKE协议中的DH交换过程，每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程，保证了每个SA所使用的密钥互不相关。 l IPsec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值，此数溢出后，为实现防重放，SA需要重新建立，这个过程需要IKE协议的配合。 l 对安全通信的各方身份的认证和管理，将影响到IPsec的部署。IPsec的大规模使用，必须有CA（Certificate Authority，认证中心）或其他集中管理身份数据的机构的参与。 l IKE提供端与端之间动态认证。 IPsec与IKE的关系 图 5 IPsec与IKE的关系图 从图2-2中我们可以看出IKE和IPsec的关系： l IKE是UDP之上的一个应用层协议，是IPsec的信令协议； l IKE为IPsec协商建立SA，并把建立的参数及生成的密钥交给IPsec； l IPsec使用IKE建立的SA对IP报文加密或认证处理。 SSL VPN简介 SSL VPN是以SSL协议为安全基础的VPN远程接入技术，移动办公人员（在SSL VPN中被称为远程用户）使用SSL VPN可以安全、方便的接入企业内网，访问企业内网资源，提高工作效率。SSL VPN技术优势： 无客户端的便捷部署 应用层接入的安全保护 企业延伸的效率提升SSL协议从身份认证、机密性、完整性三个方面确保了数据通信的安全 。 SSL VPN实现私密性 完整性 不可否认 源认证SSL VPN的特点： 采用B/S架构，远程用户无需安装额外软件，可直接使用浏览器访问内网资源。 SSL VPN可根据远程用户访问内网资源的不同，对其访问权限进行高细粒度控制。 提供了本地认证、服务器认证、认证匿名和证书挑战多种身份认证方式，提高身份认证的灵活性。 可以使用主机检查策略。 缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问哼唧，加固用户的信息安全。PN类型详解 PPTP VPN PPTP：点对点隧道协议，一种支持多协议虚拟专用网络（VPN）的网络技术，工作在第二层数据链路层。以同样工作在第二层的点对点传输协议（PPP）为基础，PPTP将PPP帧封装成IP数据包，以便于在互联网上传输并可以通过密码验证协议（PAP），可扩展认证协议（EAP）增加安全性。远程用户能够通过安装有点对点协议的操作系统访问公司网络资源。 PPTP VPN的实现需要：客户机和服务器之间必须有联通并且可用的IP网络。 该VPN可在Windows、Linux环境下搭建，或者通过配置路由器来实现。 L2F：第二层转发协议。 用于建立跨越公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 L2F允许高层协议的链路层隧道技术，使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。 L2TP VPN L2TP：二层隧道协议，结合PPTP与L2F两种二层隧道协议的优点，为众多公司接受。 L2TP扩展了PPP模型，它使用PPP来封装用户数据，允许多协议通过隧道传送，作为安全性增强，L2TP与IPSec（Internet协议安全性）结合——L2TP/IPsec， L2TP基于UDP协议，因此L2TP不保证数据消息的可靠投递，若数据丢失，不予重传。 L2TP 的实现：与PPTP不同， PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接。 该VPN可在Windows、Linux环境下搭建，或者通过配置防火墙、路由器来实现。 MPLS VPN MPLS：多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。 它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。 传统的VPN是基于 PPTP L2TP等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。 基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。 MPLSVPN网络主要由CE、PE和P等3部分组成： CE（Customer Edge）：用户网络边缘设备，可以是路由器 交换机 主机。 PE（Provider Edge）：是服务商边缘路由器，位于骨干网络。 P（Provider）：是服务提供商网络中的骨干路由器SSL工作Socket层,IPsec工作在网络层. SSL(安全套接层)是一个du基于标准的加密协议，提供加密和身份zhi识别服务。daoSSL广泛应用于在互联网上提供加密的通讯。SSL最普通的应用是在网络浏览器中通过HTTPS实现的。然而，SSL是一种透明的协议，对用户基本上是不可见的，它可应用于任何基于TCP/IP的应用程序。 _ 通用路由封装协议GRE（Generic Routing Encapsulation） 提供了 将一种协议的报文封装在另一种协议报文中 的机制，是一种 隧道封装技术 。GRE可以 封装组播数据 ，并可以 和IPSec结合使用 ，从而保证语音、视频等组播业务的安全 _ IPSec 用于在两个端点之间提供安全的IP通信，但只能加密并传播单播数据，无法加密和传输语音、视频、动态路由协议信息等组播数据流量_ GRE属于网络层协议 IP协议号为47 GRE的优点总结： _ GRE实现机制简单，对隧道两端的设备负担小 _ GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本 _ GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑 _ GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全 _ GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通 _ GRE隧道将不连续的子网连接起来，用于组建实现企业总部和分支间安全的连接_ GRE属于网络层协议 IP协议号为47GRE的优点总结： _ GRE实现机制简单，对隧道两端的设备负担小 _ GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本 _ GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑 _ GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全 _ GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通 _ GRE隧道将不连续的子网连接起来，用于组建,实现企业总部和分支间安全的连接隧道接口 _ GRE隧道是通过隧道两端的 Tunnel接口 建立的，所以需要在隧道两端的设备上分别配置 Tunnel接口 。对于GRE的Tunnel接口，需要指定其协议类型为GRE、源地址或源接口、目的地址和Tunnel接口IP地址 _ 隧道接口（tunnel接口） 是为实现报文的封装而提供的一种点对点类型的虚拟接口 与loopback接口类似 都是一种 逻辑接 _ GRE隧道接口包含 源地址 、 目的地址 和 隧道接口IP地址 和 封装类型 _ Tunnel的源地址：配置报文传输协议中的源地址。 _ 当配置地址类型时，直接作为源地址使用 _ 当配置类型为源接口时，取该接口的IP地址作为源地址使用 _ Tunnel的目的地址 ：配置报文传输协议中的目的地址<

交换型因特网安全协议与密钥管理协议;为信息模式祝你愉快，满意请采纳哦

密钥安全分发协议。在一个ISAKMP/OAKLEY交换过程中，两台机器对验证和数据安全方式达成一致，进行相互验证，然后生成一个用于随后的数据加密的个共享密钥。

江苏和南京的区别

呵呵，真的帮补了你

进入isakmp配置模式，使用lifetime命令进行配置

你可以在设置的时候打问号看看

不是的，命令是有的。你的打开方式不对，这取决于不同路由器的型号比如2911这个路由器就不支持cryptoisakmpcrypto?之后只有key但是1841路由器就支持这个命令crypto?之后就可以看到isakmp了建议尝试不同的路由器试一下，以及cisco的模拟是非常好的

因为PT只是一个简单的模拟器所以一些命令是不支持的建议使用gns3

在公共网络设施上使用 Tunneling、加密、解密等技术实现私有网络的连接，各个私有连接在公共网络上与其它的私有网络之间相互不可见，这就是 VPN。 也就是说只要满足这样条件的网络我们都将其称之为 VPN 虚拟私有网络： 使用共享的公共环境，也就通过公网服务实现各个私有网络的连接； 不同的私有网络间相互不可见的。 VPN（Virtual Private Network），虚拟的私有网络，所谓的虚拟表示的这是一个逻辑上的专用线路来连接远在各个不同地方的私有网络，这里的私有网络便是对外所不公开的、自己使用的局域网。 使用 VPN 是因为随着公司业务的扩展在距离很远的地方有不同的分布，但是又需要使他们能够访问私有的数据、资源等等，通过公网访问太不安全，通过专线访问成本太高，所以有了 VPN。可以使用低廉的公网价格享受类似于专线的服务，并且数据经过加密非常的安全。 像我们上节实验所提到的 Frame Relay 帧中继技术所提供的 PVC 永久的虚拟电路与 VPN 是有差异的，同时 VPN 与 Frame Relay 的性能上还是有很大的差距，我们可以通过 这样一篇文章 来看看他们之间的对比。 相对于帧中继来说 VPN 更加的安全、灵活。 在接触到一个新的事物时我们首先会关心： 这个东西是什么？ 这个东西用于何处？ 这个东西怎么用？ 上文我们便了解到 VPN 是虚拟专用网络，表示一套逻辑上建立在公网上的私有网络。而在 VPN 的发展中属　IPSec VPN（IP Security） 使用的最为广泛，主要在于其有这样的一些特点： 私有性：IPSec 在传输数据包之前，将数据包加密，这样保证了三层及以上层次的数据得到了保护，不易被人窃取私密信息； 完整性：IPSec 在目的地要验证数据包，以此来保证数据包在传输过程中没有被修改。例如提供了 Hash 算法（单向散列算法）中 MD5、SHA1 等等，通过该算法加工后的数据会生成世界上唯一的字符串，即使内容做了一点点的修改，修改一个字节，一个字符，一个比特位重新加工出来的字符串都会与之前的不同； 防重发：通过序列号实现放置数据包被捕捉与重复数据包； 身份验证：用于判断数据是否源于正确的创建者。 这个被广泛使用、不断发展的协议适合应用于这样的一些场景： Site-to-Site：顾名思义站点到站点间做的配置，例如成都总公司与广州子公司之间的出口路由上配置，这两个出口都是固定长期不会变化的。 End-to-End：顾名思义便是端到端之间的应用，例如我家中的 PC 上有一些私密的数据，此时我出差在外需要访问这些私密的数据，这样 PC 与 PC 之间的连接便是端到端之间的连接。 End-to-Site：顾名思义便是端到站点之间连接的应用，例如我出差在广州，此时我需要访问成都总公司服务器中的数据，该服务器放置在公司的局域网内部，此时我需要访问内网中的数据便将我的终端 PC 与内网的出口路由做链接，这样我便能访问内网中的所有资源了。 IPSec 的使用只需要在两端出口的路由上做简单的配置即可使用。并且配置好后不会有太繁重的维护任务，长期使用。 IPSec 的功能如此的强大能够为我们提供加密、认证等等的一些列功能，这显然不是一个协议所能办到的事情，所以 IPSec（Internet Protocol Security）是一个协议组或者说是协议簇，IPSec 就是这一套协议组合的名字。这个组合专门用于 IP 数据通信的安全方面，其中大致包含这样一些主要的协议： AH（Authentication Header）：网络认证头部协议，主要用于数据源验证、数据完整性校验和防报文重放功能。 ESP（Encapsulating Security Payload）：封装安全有效负荷，同样是一个安全协议，与 AH 类似，但是除了 AH 拥有的功能之外还有数据包的加密功能，在 IPSec 中可以使用 AH 或者 ESP 或者两者一起使用。 IKE（Internet Key Exchange）：密钥管理协议，在加密过程会涉及的共享密钥，公钥，私钥等等，所以需要一个专门管理的协议。 ISAKMP(Internet Security Association and Key Management Protocol)：网络安全联盟的密钥管理协议，这是 IKE 协议中的一部分，AH 与 ESP 的使用时都需要该协议的支持 这就是 IPSec，虽然还是模模糊糊，但是至少知道我们知道了它是什么，用于哪里的。 IPSec 的整个使用过程从原始数据到加密到路由之间的发送筛选等等一系列的过程十分的复杂，此处只是简单的说明一下其运行中的过程： IP 数据包到达了安全路由器上，路由去会根据此数据包的源 IP 地址、端口号等等的信息与设置好的 ACL 对比（ACL，Access Control List，称之为访问控制列表，就像一个安全名单一样，这样信息与该名单上的信息匹配就会做一些特殊的处理）； 若是在 ACL 中安全通过了，便查看路由器中的路由表，有没有相关的目的 IP 地址信息，若是有便根据路由表的指示将其发送至本机的目的端口中去； 在端口上再次匹配 ACL，若是符合条件没有问题，便交给 IPSec 来处理； IPSec 处理的第一步便是检查 SA 的模式 检查是 Tunel 模式 检查是 Transport 模式（因为两种模式的　IP　数据包头处理方式不同） IPSec 处理数据，使用 AH 或者 ESP 的方式，亦或者两者同时使用，各种封装的方式。 若是使用 ESP 的方式将加上新的 IP Header，若是使用的 AH 则加上的数据包头与原理的相同。 这边是整个发送数据包的大致过程，两种封装模式的不同导致添加的数据包头就不同，我们可以看 这样一篇文章 来了解之间具体有什么不同。 再多的理论只是也不是太明白，直接操作一番便知道 IPSec 是如何实现安全通信，已经远程两个局域网络的连接。 实验目的：配置实现 IPSec VPN 实验材料：四台路由器 实验方法： 拖动四台路由器（两台用作 PC 的充当，两台用作出口路由的充当） 配置路由器名字与连接线路 配置路由器的端口地址 配置 IPSec 验证 IPSec 1.按照惯例，利用我们的终端打开 GNS3，然后拖出四台路由器，做出这样的拓扑: 2.按照拓扑图上的要求配置各个端口的 IP 地址。（每个连接线上的是该连接的网段，端口旁的 .1 是主机号） 由此我们便配置好了各个端口的 IP 地址，我们可以用两台 PC 去 ping 各自的网关以及直连路由上端口的 IP 地址，例如 PC1： 同时可以使用 PC2、Router1、Router2 测试。 如此我们便完成了第二个步骤。 3.配置 RIP 动态路由 在配置 VPN 之前我们首先得保证整个网络都是通的，也就是说若是我本地的机器都不能上网这还说个啥的 VPN，数据加密呀。 配置好动态路由之后我们发现此时的网络环境已经是全网通的状态了。例如 PC1： 4.此时的网络处于全网通的状态，我们便可以开始配置 IPSec VPN 了。 上文我们提到过 IPSec 是一个协议组合，里面有很多的协议组成的，有 IKE 的密钥管理，封装方式等等，其中在两个站点建立连接的时候最重要的是两个协商 一个协商是 IKE 安全通道的建立协商 一个协商是 IPSec 安全参数的协商 在 IKE 协商协商的时候比对这样一些参数双方是否一致： 使用的加密算法 Hash 算法（单向散列算法） DH 算法（Diffie-Hellman key exchange算法）用于密钥交换 身份认证 IKE 协商的生存时间：两个端点协商认可对方之后并不会永久生效，会有个生存时间。超时之后会再次协商"" 所谓的协商就是比对双发使用的参数是否一致，而这个参数的集合叫做 IKE policy，也就是 IKE 的策略集。 在 IPSec 协商的时候也会有一些参数： 使用的加密算法 Hash 算法（单向散列算法） 使用的封装模式（AH、ESP） 使用的安全协议 IPsec 协商的生存时间：两个端点协商认可对方之后并不会永久生效，会有个生存时间。超时之后会再次协商 而 IPSec 的协商参数集合也有一个名字叫做 transfer set转换集。 了解整个建立过程之后我们便开始配置 VPN 了，通过上述讲的过程我们首先配置会配置 IKE policy 然后配置 IPSec 转换集： 如此我们便配置好了 Router1 的所有协商内容了。你可能会觉得很麻烦要配置这么多集合，为什么不配置在一次，一个 policy，一个 transfer-set，一个 crpyto map。 这也是我们之前所提到过的模块化思想，一个 policy 可用优先级来区分，这样可以设置多个 policy。这是密钥交换、设备之间的认证一部分的功能不应该与 transfer set 糅杂在一起，应为 policy 是设备间的认证，transfer 是应用于端口上，端口之间的协商。 而 crypto map 的独立是因为若是有其他的端口需要使用相同的策略可以直接重用，而不用重新在协议套，不直接使用 transfer set 是因为可能我们使用的转换集是一样的但是我们的 ACL 策略不同，我在使用的使用可以在创建一个 crypto map 使用同样的转换集，只是新建一个 ACL 来应用而已，但是没有 crypto map 我们就必须转换集与 ACL 都重新协议套了。 所以说了这么多，这些的独立就是为了重用，在修改的时候也相互独立，管理方便。 配置好了 Router1，我们便来配置其对端的 Router2，配置上基本一模一样，因为所有的参数在协商的时候都会对比，只有相同的时候才会成功，所以几乎一模一样，但是注意在配置 peer，authentication 的密钥分享地址上要写成 Router1 的 IP 地址哦，因为那才是 Router2 的对端 IP 地址嘛。 由此我们便配置好了 Router2 上的相关参数了 5.将相关的 crypto map 应用在相应的端口上 6.由此我们便完成了所有关于协商相关的配置，我们便来验证我们的配置是否成功。 此时我们再次使用 PC1 去 ping PC2。再次之前我们先打开 Router1 与 Router2 之间链路上 wireshark 的监听，我们可以看到有这样的数据包出现： 我们捕获到了 isakmp 相关的数据包，说明 Router 之间使用该协议相互通信，当然这并不能说明什么，我们只用这样的命令来查看 session，只要发起过回话就会有 session 的记录： 同时我们还可以使用这个命令查看 sa 的状态： 这些都足以证明我们此时使用的 Tunnel 的加密隧道在通信中。 相关的调试命令有这样一些，在这里就不逐一的为大家展示了，大家可以仔细观察相关的信息： debug 的使用开启之后不会立即有信息出来，只有在相互通信时才有相关的信息蹦出来。

楼上说的太好了

在采用IKE动态协商方式建立IPSec隧道时，SA有两种：一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数，建立IPSec SA的目的是为了协商用于保护用户数据的安全参数，但在IKE动态协商方式中，IKE SA是IPSec SA的基础，因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥。 手工方式建立SA存在配置复杂、不支持发起方地址动态变化、 建立的SA永不老化、不利于安全性等缺点。本节具体介绍动态协商方式的好处,以及IKE与IPSec的关系。 （1） 降低了配置的复杂度, 在IKE动态协商方式下，SPI, 认证密钥和加密密钥等参数将自动生成，而手工方式中需根据SA出方向和入方向分别指定。 （2） 提供抗重放功能, IPSec使用AH或ESP报头中的序列号实现抗重放(不接受序列号相同的数据包)。当AH或ESP报头中的序列号溢出（也是达到了最大值，不能再继续往下编 号，要开始新一轮的重新编号了）后，为实现抗重放，SA需要重新建立，这个过程需要IKE协议的配合，所以手工方式下不支持抗重放功能。 （3）支持协商发起方地址动态变化情况下（如采用PPP。E拨号方式接入Internet）的身份认证，手工方式不支持，只能适用于在两端都采用专线连接方式接入Internet情形。 （4）支持认证中心CA （Certificate Authority）在线对对等体身份的认证和集中管理，有利于IPSec的大规模部署，手工方式不支持在线认证方式。 （5）通过IKE协商建立的SA具有生存周期，可以实时更新，降低了SA被破解的风险，提高了安全性。 生存周期到达指定的时间或指定的流量，SA就会失效。在SA快要失效前，IKE将为对等体协商新的SA。在新的SA协商好之后，对等体立即采用新的SA保护通信。生存周期有两种定义方式： IKE 协议建立在 ISAKMP （Internet Security Association and Key Management Pr otocol, Internet安全联盟和密钥管理协议）定义的框架上，是基于UDP的应用层协议（对应UDP500端口. 它为IPSec提供了自动协商交换密钥、建立SA的服务，能够简化IPSec的使用和管理。 其实IKE也不是一个单独的协议，它包括三大协议：ISAKMP （Internet Security Association and Key Management Protocol,因特网安全联盟和密钥管理协议），Oakley （Oakley Key Determination Protocol,奥利克密钥确定协议）和SKEME （Sec ure Key Exchange Mechanism for Internet,因特网安全密钥交换机制）。ISAKMP主 要定义了IKE对等体（IKE Peer）之间合作关系，建立IKE SA。OakLey协议是一个产生和交换IPSec密钥材料并协调IPSec参数的框架（包括支持哪些安全协议）；SKEM E协议决定了IKE密钥交换的方式，主要采用DH （Diffie-Hellman）算法。 IKE与IPSec （包括AH和ESP协议）的关系如下图所示，IKE是UDP之上的一个 应用层协议（AH和ESP是网络层协议），是IPSec的信令协议；IKE为IPSec协商建立 SA,并把建立的参数及生成的密钥交给IPSec; IPSec使用IKE建立的SA对IP报文加密 或认证处理。 对等体之间建立一个IKE SA后，在IKE SA保护了IPSec隧道的情况下，再根据配置的AH、ESP安全协议等参数协商出一对IPSec SA,用于对等体间的数据在IPSec隧道中的安全数据传输。 IKE协议目前有IKEv1和IKEv2两个版本。IKEv1版本使用两个阶段为IPSec进行密 钥协商并最终建立IPSec SA。第一阶段，通信双方协商建立IKE本身使用的安全通道 （即隧道），即建立一对IKE SA。第二阶段，利用这个已通过了认证和安全保护的安全通道建立一对用于保护隧道中数据安全传输的IPSec SA。而IKEv2版本则简化了协商过程，在一次协商中可直接产生IPSec的密钥，生成IPSec SA。 下面先来了解IKE在产生SA （包括IKE SA和IPSec SA）的过程中所用的一些安全机制，这是后面介绍具体的IKE协商过程中所要用到的。 IPSec应用方案之所以能在公网（如Internet）上安全地进行网络通信，其重要原因是可在对等体间的整个隧道建立和数据传输过程中均有各种安全机制来做保障，这方面如果采用的是IKE来进行自动的密钥交换和协商同样可以做到，因为IKE本身就具有一整套自我保护机制，可以在不安全的网络上安全地认证身份，分发密钥。具体体现在以下几种安全保护方面。 当使用IKE在对等体间进行信息交换时，首先要识别对方的合法性，也就是身份认证问题。在IKE中可用于确定对等体身份（对等体的IP地址或名称）的机制比较全面，包括预共享密钥PSK （pre-shared key）认证，RSA数字证书（rsa-signature,或称RSA数字签名）认证和RSA数字信封认证。 在数字信封中，发送方采用对称密钥（需要发送方事先随机产生一个对称密钥）来对要发送的报文进行数字签名，然后将此对称密钥用接收方的公钥来加密 （这部分称数字信封）之后，再将加密后的对称密钥连同经过数字签名的报文一起发送给接收方。接收方在收到后，首先用自己的私钥打开数字信封，即可得到发送方的对称密钥，然后再用该对称密钥解密原来被数字签名的报文，验证发送方的数字签名是否正确。如果正确，则认证通过；否则认证失败。 对于预共享密钥认证方法，当有一个对等体对应多个对等体时，需要为每个对等体配置预共享的密钥，工作量大，所以该方法在小型网络中容易建立，但安全性较低。使用数字证书安全性高，但需要CA来颁发数字证书，适合在大型网络中使用。而数字信封认证用于设备需要符合国家密码管理局要求时使用（需要使用国家 密码管理局要求的哈希算法SM3），且此认证方法只能在IKEv1的主模式协商过程中支持。 以上所提到的用于身份认证的各种密钥都属于IKE认证密钥，支持的算法有： MD5，SHA1， SHA2-256，SHA2-384，SHA2-512，SM3。MD5算法使用128位的密钥，SHA-1算法使用160位的密钥，SHA2-256，SHA2-384，SHA2-512分别采用256 位，384位和512位密钥，SM3使用128位密钥。它们之间的安全性由高到低顺序 是：SM3>SHA2-512>SHA2-384>SHA2-256>SHA1>MD5。 对于普通的安全要求，认证算法推荐使用SHA2-256，SHA2-384和SHA2-512,不推荐使用MD5和SHA1,对于安全性要求特别高的地方，可采用SM3算法。 以上所涉及的身份认证密钥（包括预共享密钥，公/私钥），证书都是作为发送方的“验证数据”要通过对应方式发给对方予以验证的。 IPSec的数据加密机制主要用在两个方面：一是在IKE协商阶段，保护所传输的用于身份认证的数据信息（如共享密钥、证书、认证密钥等），二是在IPSec隧道建立后保护在隧道中传输的用户数据。但这里所说的数据加密机制所采用的对称密钥机制，即加密和解密采用相同的密钥，而不是像前面介绍的数字证书身份认证和数字签名应用中所采用的非对称密钥体系。 IKE支持的加密算法包括:DES，3DES，AES-128，AES-192，AES-256，SM1和SM4等。DES算法使用56位密钥，3DES使用168位密钥，AES-128，AES-192，AES-256分别使用128，192和256位密钥，SM1和SM4均使用128位密钥。这些加密算法的安全级别由高到低的顺序是：SM4 > SMI1> AES-256 > AES-192 > AES-128 > 3DES > DES,推荐使用AES-256、AES-192和AES-128,不推荐使用3DES和DES算法， SM1和SM4仅建议在保密及安全性要求非常高的地方采用，因为它们的运算速度比较慢。非对称密钥体系中通常使用的是RSA或DSA （Digital Signature Algorithm,数字签名算法）加密算法。 Diffie-HeLlman算法是一种公开密钥算法。通信双方可在不传送密钥的情况下，仅通过交换一些数据，即可计算出双方共享的密钥。而且可以做到，即使第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。 DH主要用于IKE动态协商时重新生成新的IPSec SA所用的密钥，因为它可以通 过一系列数据的交换，最终计算出双方共享的密钥，而不依赖于在前期生成的密钥生成材料。但DH没有提供双方身份的任何信息，不能确定交换的数据是否发送给合法方，第三方可以通过截获的数据与通信双方都协商密钥，共享通信，从而获取和传递信息，所以IKE还需要身份认证来对对等体身份进行认证。 PFS (Perfect Forward Secrecy,完善的前向安全性)是一种安全特性，指一个密钥被破解后并不影响其他密钥的安全性，因为这些密钥间没有派生关系。 由本章后面的介绍就可知道，IPSec SA的密钥是从IKE SA的密钥导出的。由于一个IKE SA协商可生成一对或多对有一定派生关系的IPSec SA，所以当IKE的密钥被窃取后，攻击者很可能通过收集到足够的信息来非法导出IPSec SA的密钥，这样就不安全了。如果在生成IPSec阶段启用了PFS，即可通过执行一次额外的DH交换，生成新的，独立的IPSec SA，这样就可以保证IPSec SA密钥的安全了。 上文已提到，IKEvl版本产生最终的IPSecSA是需要经过两个阶段，分别用来建立IKESA和IPSecSA。本节先介绍第一阶段。 IKEvl的第一阶段的最终目的是在对等体之间创建了一条安全通道，建立对等 体的IKESA。在这个阶段中，IKE对等体间彼此验证对方，并确定共同的会话密 钥。这个阶段需要用到Diffie-Hellman （简称DH）算法进行密钥交换，完成IKE SA 建立，使后面的第二阶段过程的协商过程受到安全保护。 在IKEvl版本中，建立IKE SA的过程有主模式（Main Mode）和野蛮模式（Aggr essive Mode,也称“积极模式”）两种交换模式。下面分别予以介绍。 在IKEv1的主模式的IKE SA建立过程中，包含三次双向消息交换，用到了六条信息，交换过程如图所示。 这6条消息其实总体上是三个步骤，各包含两条相邻编号的消息。 第一个步骤对应的是消息①和②，是隧道两端对等体间通过交换彼此配置的IKE策略协商好要共同采用的IKE安全策略，因为只有双方都采用相同的安全策略才能相互识别对方加密的数据，并对对方身份进行正确认证。 第二个步骤对应的是消息③和④，是对等体间通过DH算法交换彼此的密钥生成所需的参数信息（DH公开值和随机数nonce等），建立两端相同的一系列共享密钥，主要包括用于在第二阶段协商的身份认证密钥和协商数据的加密密钥。 第三步对应的是消息⑤和⑥，用前面已创建好的加密密钥彼此相互发送各自的身份（如对等体的IP地址或名称）和验证数据（所采用的身份认证方式中的密钥， 或证书数据等），采用相应认证方法在对等体间进行身份认证。最终完成IKE SA的建立。 在正式进行消息交换前，发起方和接收方必须先计算出各自的cookie （在ISKMP报头中，可以防重放和DoS攻击），这些cookie用于标识每个单独的协商交换消息。RFC建议将源/目IP地址，源/目端口号，本地生成的随机数，日期和时间进行散列操作生成cookie。cookie成为在IKE协商中交换信息的唯一标识，在IKEv1版本中为Cookie, 在IKEv2版本中的Cookie即为IKE的SPI （安全参数索引）。 下面再具体介绍以上所提到的这6条消息。 如图所示,野蛮模式只用到三条信息,消息①和②用于在对等体间协商IKE安全策略，交换DH公钥，必需的辅助信息和身份信息(通常不以IP地址进行标识,而是以主机名进行标识的)。 由野蛮模式和主模式的对比可以发现,与主模式相比，野蛮模式减少了交换信息的数目，提高了协商的速度，但是没有对身份信息和验证数据进行加密保护，因为双方在发送身份信息时(对应第①和第②条消息)是不加密的(但主模式中发送的身份信息和验证数据是加密的，对应第⑤和第⑥条消息)。虽然野蛮模式不提供身份保护，它仍可以满足某些特定的网络环境需求。 当IPSec 隧道中存在NAT设备时，需要启用NAT穿越功能，而NAT转换会改变对等体的IP地址，由于野蛮模式不依赖于IP地址标识身份，使得如果采用预共享密钥验证方法时，NAT穿越只能在野蛮模式中实现。如果发起方的P地址不固定或者无法预知，而双方都希望采用预共享密钥验证方法来创建IKE SA，则只能采用野蛮模式。 如果发起方已知响应方的策略，或者对响应者的策略有全面的了解，采用野蛮模式能够更快地创建IKE SA. ikev1版本的第二阶段就是要在第一阶段基础上最终建立一对SA ,它只有一种模式,即快速模式(Quick Mode )。快速模式的协商是受SA 保护的,整个协商过程如图所示。 在快速模式的协商过程中主要是完成以下IPSec 安全策略的确定: 在上述几方面达成一致后,将建立起两个PSec SA ,分别用于入站和出站通信。 在消息①和②中的IPSec安全提议包括了安全协议，spi，IPSec封装模式，PfS(可选)，IPSec SA生存周期等。这两条消息中还包括双方的身份信息(如IP地址，传输层端口)，验证数据(包括所采用的身份认证机制中的密钥，证书等)，以及nonce (一个随机数，用于抗重放，还被用作密码生成的材料，仅当启用PFS时用到)。接收方会利用所收到的对方数据生成加密密钥,消息③为确认消息,通过确认发送方收到该阶段的消息②,使响应方获知可以正式通信了。 IKEv1需要经历两个阶段,至少交换6条消息才能最终建立一对PSec SA, 而IKEv2在保证安全性的前提下, 减少了传递的信息和交换的次数,实现起来更简单。 IKEv2保留了IKEv1的大部分特性,而且IKEv1的一部分扩展特性(如NAT穿越)作为IKEv2协议的组成部分被引入到IKEv2框架中。与IKEV1不同,IKEv2中所有消息都以“请求-响应”的形式成对出现，响应方都要对发起方发送的消息进行确认,如果在规定的时间内没有收到确认报文,发起方需要对报文进行重传处理,提高了安全性。 IKEv2还可以防御DoS攻击。在IKEv1中,当网络中的攻击方一直重放消息,响应方需要通过计算后,对其进行响应而消耗设备资源,造成对响应方的DoS攻击。而在KEv2中,响应方收到请求后,并不急于计算,而是先向发起方发送一个cookie类型的Notify载荷(即一个特定的数值),两者之后的通信必须保持Fcookie与发起方之间的对应关系,有效防御了DoS攻击。 IKEv2定义了三种交换类型:初始交换(InitialExchanges)，创建子SA交换(Create _Child _SA Exchange)以及通知交换(InformationalExchange)。IKEv2通过初始交换就可以完成一个IKE SA和第一对IPSec SA的协商建立。如果要求建立的IPSec SA大于一对时, 每一对IPSec SA值只需要额外增加一次创建子SA交换(而如果采用IKEv1,则子SA 的创建仍然需要经历两个阶段)。 IKEv2初始交换对应IKEv1的第一阶段，初始交换包含两次交换四条消息,如图所示。消息①和②属于第一次交换，以明文方式完成IKE SA的参数协商,主要是协商加密算法，交换nonce 值，完成一次DH交换,从而生成用于加密,并验证后续交换的密钥材料。消息③和④属于第二次交换,以加密方式完成身份认证(通过交换身份信息和验证数据)，对前两条信息的认证和IPSec SA的参数协商。 在初始交换完成后,可以由任何一方发起创建子SA交换,该次交换中的发起者和初始交换中的发起者可能是不同的。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。 创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。如果需要支持PFS,创建子SA交换可额外进行一次DH交换，建立勇于建立IPSEC SA的新密钥。 通信双方在密钥协商期间,某一方可能希望向对方发送控制信息,通知某些错误或者某事件的发生,这就需要由“通知交换过程来完成。 通知交换如图2-15所示,用于对等体间传递一些控制信息,如错误信息,删除消息,或通知信息。收到信息消息的一方必须进行响应,响应消息中可能不包含任何载荷。通知交换只能发生在初始交换之后,其控制信息可以是IKE SA的(由IKES A保护该交换),也可以是子SA的(由子SA保护该交换)。

默认值为1

是不是IOS不支持

IP多媒体子系统（IMS）是3GPP在R5规范中提出的，旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来，为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台，也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点，是业界普遍认同的解决未来网络融合的理想方案和发展方向，但对于IMS将来如何提供统一的业务平台实现全业务运营，IMS的标准化及安全等问题仍需要进一步的研究和探讨。1、IMS存在的安全问题分析传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程，信令网的安全能够保证网络的安全。而且传输采用时分复用（TDM）的专线，用户之间采用面向连接的通道进行通信，避免了来自其他终端用户的各种窃听和攻击。而IMS网络与互联网相连接，基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端之间的互通性，不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上，使得IMS的安全性要求比传统运营商在独立网络上运营要高的多，不管是由移动接入还是固定接入，IMS的安全问题都不容忽视。IMS的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性；未经授权地篡改敏感数据以破坏完整性；干扰或滥用网络业务导致拒绝服务或降低系统可用性；用户或网络否认已完成的操作；未经授权地接入业务等。主要涉及到IMS的接入安全（3GPP TS33.203），包括用户和网络认证及保护IMS终端和网络间的业务；以及IMS的网络安全（3GPP TS33.210），处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外，还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块（UICC/ISIM）安全构成威胁。2、IMS安全体系IMS系统安全的主要应对措施是IP安全协议（IPSec），通过IPSec提供了接入安全保护，使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络，对PS域没有太大的依赖性，在PS域中，业务的提供需要移动设备和移动网络之间建立一个安全联盟（SA）后才能完成。对于IMS系统，多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。3GPP终端的核心是通用集成电路卡（UICC），它包含多个逻辑应用，主要有用户识别模块（SIM）、UMTS用户业务识别模块（USIM）和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数（如身份识别、用户授权和终端设置数据等），而且存储了共享密钥和相应的AKA（Authentication and Key Agreement）算法。其中，保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能，也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求，分别用①、②、③、④、⑤来加以标识。①提供终端用户和IMS网络之间的相互认证。②在UE和P-CSCF之间提供一个安全链接（Link）和一个安全联盟（SA），用以保护Gm接口，同时提供数据源认证。③在网络域内为Cx接口提供安全。④为不同网络之间的SIP节点提供安全，并且这个安全联盟只适用于代理呼叫会话控制功能（P-CSCF）位于拜访网络（VN）时。⑤为同一网络内部的SIP节点提供安全，并且这个安全联盟同样适用于P-CSCF位于归属网络（HN）时。除上述接口之外，IMS中还存在其他的接口，在上图中未完整标识出来，这些接口位于安全域内或是位于不同的安全域之间。这些接口（除了Gm接口之外）的保护都受IMS网络安全保护。SIP信令的保密性和完整性是以逐跳的方式提供的，它包括一个复杂的安全体系，要求每个代理对消息进行解密。SIP使用两种安全协议：传输层安全协议（TLS）和IPSec，TLS可以实现认证、完整性和机密性，用TLS来保证安全的请求必须使用可靠的传输层协议，如传输控制协议（TCP）或流控制传输协议（SCTP）；IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性，它同时支持TCP和用户数据报协议（UDP）。在IMS核心网中，可通过NDS/IP来完成对网络中SIP信令的保护；而第一跳，即UE和P-CSCF间的信令保护则需要附加的测量，在3GPP TS 33.203中有具体描述。3、IMS的接入安全IMS用户终端（UE）接入到IMS核心网需经一系列认证和密钥协商过程，具体而言，UE用户签约信息存储在归属网络的HSS中，且对外部实体保密。当用户发起注册请求时，查询呼叫会话控制功能（I-CSCF）将为请求用户分配一个服务呼叫会话控制功能（S-CSCF），用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时，该S-CSCF将通过对请求内容与用户签约信息进行比较，以决定用户是否被允许继续请求。在IMS接入安全中，IPSec封装安全净荷（ESP）将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护，对于呼叫会话控制功能（CSCF）之间和CSCF和HSS之间的加密可以通过安全网关（SEG）来实现。同时，IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护，保护IP层的所有SIP信令，以传输模式提供完整性保护机制。在完成注册鉴权之后，UE和P-CSCF之间同时建立两对单向的SA，这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流，另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应，而不是使用发送请求的那个端口。同时，终端和P-CSCF之间使用TCP连接，在收到请求的同一个TCP连接上发送响应；而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库，即内部和外部数据库（SPD和SAD）。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA，这些选择器包括IP层和上层（如TCP和UDP）协议的字段值。与此同时，为了保护SIP代理的身份和网络运营商的网络运作内部细节，可通过选择网络隐藏机制来隐藏其网络内部拓扑，归属网络中的所有I-CSCF将共享一个加密和解密密钥。在通用移动通信系统（UMTS）中相互认证机制称为UMTS AKA，在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络，以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议，包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。UMTS系统中AKA协议，其相同的概念和原理被IMS系统重用，我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证，并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份（IMPI），HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时，ISIM对AUTN进行验证，从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号，如果ISIM检测到超出了序列号码范围之外的认证请求，那么它就放弃该认证并向网络返回一个同步失败消息，其中包含了正确的序列号码。为了响应网络的认证请求，ISIM将密钥应用于随机挑战（RAND），从而产生一个认证响应（RES）。网络对RES进行验证以认证ISIM。此时，UE和网络已经成功地完成了相互认证，并且生成了一对会话密钥：加密密钥（CK）和完整性密钥（IK）用以两个实体之间通信的安全保护。4、IMS的网络安全在第二代移动通信系统中，由于在核心网中缺乏标准的安全解决方案，使得安全问题尤为突出。虽然在无线接入过程中，移动用户终端和基站之间通常可由加密来保护，但是在核心网时，系统的节点之间却是以明文来传送业务流，这就让攻击者有机可乘，接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。针对2G系统中的安全缺陷，第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击，同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。在NDS中有几个重要的概念，它们分别是安全域（Security Domains）、安全网关（SEG）。4.1　安全域NDS中最核心的概念是安全域，安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下，一个安全域直接对应着一个运营商的核心网，不过，一个运营商也可以运营多个安全域，每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中，不同的安全域之间的接口定义为Za接口，同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。4.2　安全网关SEG位于IP安全域的边界处，是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域，SEG被用来处理通过Za接口的通信，将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条（hub-and-spoke）模型，它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略，也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送，每个安全域可以有一个或多个SEG，网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时，NDS/IP必须提供相应的机密性、数据完整性和认证。4.3　基于IP的网络域安全体系[2]NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全，逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护，安全网关之间的网络连接通过使用IKE来建立和维护[3]。网络实体（NE）能够面向某个安全网关或相同安全域的其他安全实体，建立维护所需的ESP安全联盟。所有来自不同安全域的网络实体的NDS/IP业务通过安全网关被路由，它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图2所示。4.4　密钥管理和分配机制[5]每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用因特网密钥交换（IKE）协议进行协商，其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的：一个SA用于入向的业务流，另一个用于出向的业务流。另外，SEG还维护了一个单独的因特网安全联盟和密钥管理协议（ISAKMP）SA，这个SA与密钥管理有关，用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言，一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中，认证是基于预先共享的密钥。NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPSec ESP。在隧道模式的ESP中，包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密（3DES）算法是强制使用的，而对于数据完整性和认证，MD5和SHA-1都可以使用。4.5　IPSec安全体系中的几个重要组成和概念[5]1）IPSec：IPSec在IP层（包括IPv4和IPv6）提供了多种安全服务，从而为上层协议提供保护。IPSec一般用来保护主机和安全网关之间的通信安全，提供相应的安全服务。2）ISAKMP：ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式，还有用于密钥产生的技术，它还包括缓解某些威胁的机制。3）IKE：IKE是一种密钥交换协议，和ISAKMP一起，为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA，即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。4）ESP：ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用，可提供机密性（如加密）或完整性（如认证）或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中，ESP头插入到IP数据报中IP头后面、所有上层协议头前面的位置；而在隧道模式中，它位于所封装的IP数据报之前。标准化组织对IMS的安全体系和机制做了相应规定，其中UE和P-CSCF之间的安全由接入网络安全机制提供，IMS网络之上的安全由IP网络的安全机制保证，UE与IMS的承载层分组网络安全仍由原来的承载层安全机制支持。所有IP网络端到端安全基于IPSec，密钥管理基于IKE协议。对于移动终端接入IMS之前已经进行了相应的鉴权，所以安全性更高一些。但是对于固定终端来说，由于固定接入不存在类似移动网络空中接口的鉴权，P-CSCF将直接暴露给所有固定终端，这使P-CSCF更易受到攻击。为此，在IMS的接入安全方面有待于进一步的研究，需要不断完善IMS的安全机制。

没有trunk模式是tunnle吧

no

1.配置设备地址，开启rip。第x个子网的网段为：192.168.x.0。（属于基本配置，就不贴命令了）2.测试各设备连通性3.R2上配置ACL，将子网3,4模拟成Internet环境Router2(config)#acc 1 permit 192.168.3.0 0.0.0.255Router2(config)#acc 1 deny any Router2(config)#acc 2 permit 192.168.4.0 0.0.0.255Router2(config)#acc 2 deny any Router2(config)#int f0/0Router2(config-if)#ip acc 1 inRouter2(config-if)#exitRouter2(config)#int f0/1Router2(config-if)#ip acc 2 inRouter2(config-if)#exit4.测试PC0和PC1不可达性。但是子网3和4之间的各接口都可以相互ping通。5.认证策略，预共享的密钥：crypto isakmp policy 1authentication pre-sharegroup 2配置密钥：crypto isakmp key mykey address 192.168.0.2<mykey>：密钥<192.168.0.2>：对方实体地址访问控制列表：acc 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255变换集：crypto ipsec transform-set myset esp-3des esp-sha-hmac 创建加密图：crypto map mymap 10 ipsec-isakmp match address 101set transform-set mysetset peer 192.168.0.2在接口上应用：int f0/1crypto map mymap5.测试连通性。PC0和PC1能相互ping通。 希望对你能有所帮助

直接no掉不可以吗

建议你用asdm配置，so easy

分类: 电脑/网络 >> 互联网 解析: 什么是VPN VPN（Virtual Private Neork）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Inter或Intra。 要实现VPN连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Inter，也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Inter服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。 VPN的基本配置:工作原理： 一边服务器的网络子网为192.168.1.0/24 路由器为100.10.15.1 另一边的服务器为192.168.10.0/24 路由器为200.20.25.1。 执行下列步骤： 1. 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u） 2. 为SA协商过程配置IKE。 3. 配置IPSec。 配置IKE: Shelby(config)#crypto isakmp policy 1 注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅ Shelby(config-isakmp)#group 1 注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。 Shelby(config-isakmp)#authentication pre-share 注释：告诉路由器要使用预先共享的密码。 Shelby(config-isakmp)#lifetime 3600 注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。 Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1 注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1。 配置IPSec Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。 Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac 注释：这里在两端路由器唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。 Shelby(config)#crypto map shortsec 60 ipsec-isakmp 注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。 Shelby(config-crypto-map)#set peer 200.20.25.1 注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1。 Shelby(config-crypto-map)#set transform-set vpn1 Shelby(config-crypto-map)#match address 130 注释：这两个命令分别标识用于这个连接的传输设置和访问列表。 Shelby(config)#interface s0 Shelby(config-if)#crypto map shortsec 注释：将刚才定义的密码图应用到路由器的外部接口。 现在剩下的部分是测试这个VPN的连接，并且确保通信是按照预期规划进行的。 最后一步是不要忘记保存运行配置，否则所作的功劳白费了。 附：参照网络安全范围，VPN硬件设备应放置以下四个地点： ● 在DMZ的防火墙之外 ● 连接到防火墙的第三个网卡（服务网络） ● 在防火墙保护的范围之内 ● 与防火墙集成 VPN的工作原理 用户连接VPN的形式： 常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。 这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？ 建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。 另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

三个路由器和两台主机 左边的是vpn1，右边的是vpn2。路由器之间用串口线连接。中间的做为internet！！左边的f0/0口的ip是192.168.1.254右边的f0/0口ip是192.168.2.254。配置VPN1Router>enRouter#conf tRouter(config)#host VPN1VPN1 (config)#int fa0/0VPN1（config-if)#ip add 192.168.1.254 255.255.255.0VPN1 (config-if)#no shVPN1 (config-if)#exitVPN1 (config)#int s1/0VPN1（config-if)#ip add 12.1.1.1 255.255.255.0VPN1 (config-if)#no shVPN1（config-if)#exitVPN1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2VPN1 (config)#crypto isakmp policy 10VPN1 (config-isakmp)#authentication pre-shareVPN1 (config-isakmp)#hash md5VPN1 (config-isakmp)#group 2VPN1 (config-isakmp)#encryption 3des //配置使用3des进行加密VPN1 (config-isakmp)#exitVPN1(config)#crypto isakmp key kkfloat address 23.1.1.2 //配置使用共享密钥的对方地址VPN1(config)#crypto ipsec transform-set kkfloatset esp-3des esp-sha-hmac VPN1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 //创建访问控制列表，允许本地对远端的访问VPN1(config)#crypto map vpnmap 10 ipsec-isakmpVPN1(config-crypto-map)#match address 100 //应用访问控制列表VPN1(config-crypto-map)#set transform-set kkfloatsetVPN1(config-crypto-map)#set peer 23.1.1.2 //配置对端站点的地址VPN1(config-crypto-map)#exitVPN1(config)#int s1/0VPN1(config-if)#crypto map vpnmapVPN1 (config-if)#end配置Internet路由器：Router>enRouter#conf tRouter(config)#host InternetInternet(config)#int s1/0Internet(config-if)#ip add 12.1.1.2 255.255.255.0Internet(config-if)#no shInternet(config-if)#clock rate 64000Internet(config-if)#no shInternet(config-if)#exitInternet(config)#int s1/1Internet(config-if)#ip add 23.1.1.1 255.255.255.0Internet(config-if)#clock rate 64000Internet(config-if)#no sh配置VPN2：VPN2>enRouter#conf tRouter(config)#host VPN2VPN2 (config)#int fa0/0VPN2 (config-if)#ip add 192.168.2.254 255.255.255.0VPN2 (config-if)#no shVPN2 (config-if)#exitVPN2 (config)#int s1/0VPN2 (config-if)#ip add 23.1.1.2 255.255.255.0VPN2 (config-if)#no shVPN2 (config-if)#exitVPN2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.1VPN2 (config)#crypto isakmp policy 10VPN2 (config-isakmp)#authentication pre-shareVPN2 (config-isakmp)#hash md5VPN2 (config-isakmp)#group 2VPN2 (config-isakmp)#encryption 3desVPN2 (config-isakmp)#exitVPN2 (config)#crypto isakmp key kkfloat address 12.1.1.1VPN2 (config)#crypto ipsec transform-set kkfloatset esp-3des esp-sha-hmacVPN2 (config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255VPN2 (config)#crypto map vpnmap 10 ipsec-isakmpVPN2 (config-crypto-map)#match address 100VPN2 (config-crypto-map)#set transform-set kkfloatsetVPN2 (config-crypto-map)#set peer 12.1.1.1VPN2 (config-crypto-map)#exitVPN2 (config)#int s1/0VPN2 (config-if)#crypto map vpnmap VPN2 (config-if)#end你再ping测试再show crypto 看看

crypto isakmp policy 10 ---定义密钥（IKE）的属性，10是编号encr aes 256 ---定义加密算法 authentication pre-share ---认证方式采用预共享密钥 group 2 ----也是定义IKE的一个属性，忘记具体是啥了crypto isakmp client configuration group ciscogroupkey ciscogroup ----共享密码设定 pool VPNCLIENTS ------客户端地址范围 netmask 255.255.255.0 -----客户端地址掩码crypto ipsec transform-set mytrans esp-3des esp-sha-hmac!crypto dynamic-map mymap 10 ----定义动态VPN联接，编号10 set transform-set mytrans ---设定加密和哈希的策略采用名称为mytrans的设定 reverse-route ------可能是为了安全来检查客户端的路由是否为这个接口出去。叫反向路径检测!其它有空再解释

　　前提：没有加密通道前，数据能够正常交流。　　Step1:允许pix外口进来的ipsec数据流　　Pix(config)#access-listout_inpermit50anyhost222.254.240.193　　Pix(config)#access-listout_inpermit51anyhost222.254.240.193　　Pix(config)#access-listout_inpermitudpanyhost222.254.240.193eq500　　Sysoptconnectionpermit-ipsec更简略的方式，只需一条　　Step2:外口启用ISAKMP　　Pix1(config)#isakmpenableoutside　　Pix2(config)#isakmpenableoutside　　Step3:配置IKE策略参数　　Isakmppolicy10encryption3des　　Isakmppolicy10hashmd5　　Isakmppolicy10group2　　Isakmppolicy10lifetime2400　　Isakmppolicy10autenticationpre-share　　(Isakmppolicy10autenticationrsa-sig)启用RSA数字签名认证(缺省)　　pix#showisakmppolicy查看策略　　step4:定义预共享密钥　　pix1(config)#isakmpkeymykeyaddress202.103.96.112netmask255.255.255.255　　pix2(config)#isakmpkeymykeyaddress222.254.240.193netmask255.255.255.255　　pix(config)#isakmpkeypubkeyaddress0.0.0.0netmask0.0.0.0(所有通道peer都共享同一密钥)　　step5:定义加密数据流ACL　　pix1(config)#　　access-listcrypto_datepermit192.168.1.1255.255.255.0192.168.2.0255.255.255.0　　pix2(config)#　　access-listcrypto_datepermit192.168.2.0255.255.255.0192.168.1.0255.255.255.0　　step6:定义转换集合transformset两边配置一样　　pix1(config)#cryptoipsectransform-setmysetesp-desesp-sha-hmac　　pix2(config)#cryptoipsectransform-setmysetesp-desesp-sha-hmac　　pix1(config)#showcryptoipsectransform-set　　step7:NAT的问题　　pix1(config)#nat0access-listcryto_date　　pix2(config)#nat0access-listcryto_date　　step8:配置加密图连接policy+transform-set+peeraddress　　pix1(config)#cryptomappix1map10ipsec-isakmp　　pix1(config)#cryptomappix1map10matchaddresscrypto_date　　pix1(config)#cryptomappix1map10setpeer202.103.96.112　　pix1(config)#cryptomappix1map10settransform-setmyset　　pix2(config)#cryptomappix2map10ipsec-isakmp　　pix2(config)#cryptomappix1map10matchaddresscrypto_date　　pix2(config)#cryptomappix1map10setpeer222.240.254.193　　pix2(config)#cryptomappix1map10settransform-setmyset　　step9:绑定加密图到接口　　pix1(config)#cryptomappix1mapinterfaceoutside　　pix2(config)#cryptomappix2mapinterfaceoutside　　pix1#showcryptomap　　pix1#showcryptoipsecsa

like to喜欢去

ike服务：IKE协议是用于交换和管理在VPN中使用的加密密钥的。

no crypto map vpn-set 110

分类: 电脑/网络 问题描述: 电脑的任务管理器中的“进程”是什么意思？我是电脑新手，请老师详细讲一下怎么应用它？其右下角的“结束”按钮怎么用？先谢过了。 解析: 很多用户都对于自己机器的进程不是很明白，有时总误认为是病毒的进程，希望介绍一些系统的小知识，便于大家使用计算机。 最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）: *** ss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) svchost.exe 包含很多系统服务 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）: mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 iinfo.exe 通过 Inter 信息服务的管理单元提供 FTP 连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Inter 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) tftpd.exe 实现 TFTP Inter 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基 于 Windows 的程序。(系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉 tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务) i *** serv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 RPC 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务) msdexe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) dde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) *** logsvc.exe 配置性能日志和警报。(系统服务) rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务) grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务) SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序 。(系统服务) UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) 详细说明： win2k运行进程 Svchost.exe Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 在系统的%systemroot%system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要 加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务， 以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 Svchost.exe 组是用下面的注册表值来识别。 HKEY_LOCAL_MACHINESofareMicrosoftWindows NTCurrentVersionSvchost 每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的 例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个 或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesService explorer.exe 这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个 进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。 通常不会对系统产生什么负面影响。 internat.exe 这个进程是可以从任务管理器中关掉的。 internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置 HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。 internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。 当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。 lsass.exe 这个进程是不可以从任务管理器中关掉的。 这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是 通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入 令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。 mstask.exe 这个进程是不可以从任务管理器中关掉的。 这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。 *** ss.exe 这个进程是不可以从任务管理器中关掉的。 这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的， 包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些 进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么 不可预料的事情， *** ss.exe就会让系统停止响应（就是挂起）。 spoolsv.exe 这个进程是不可以从任务管理器中关掉的。 缓冲（spooler）服务是管理缓冲池中的打印和传真作业。 service.exe 这个进程是不可以从任务管理器中关掉的。 大多数的系统核心模式进程是作为系统进程在运行。 System Idle Process 这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。 winlogon.exe 这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。 winmgmt.exe winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化 taskmagr.exe 这个进程就是任务管理器。 在知道里找到不少制作QQ空间的代码。但每次我在新建模块无论在网址里还是评论里输入代码最后保存都没有显示相应的效果，请问具体制作步骤是怎样？ winXP进程全接触 Windows 2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如 现在系统中运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然， 不知道它们是做什么的，会不会有可疑进程（病毒，木马等）。本文的目的就是提供一 些常用的Windows 2000 中的进程名，并简单说明它们的用处。 在 WINDOWS 2000 中,系统包含以下缺省进程： Csrss.exe Explorer.exe Internat.exe Lsass.exe Mstask.exe Smss.exe Spoolsv.exe Svchost.exe Services.exe System System Idle Process Taskmgr.exe Winlogon.exe Winmgmt.exe 下面列出更多的进程和它们的简要说明 进程名 描述 *** ss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安 全驱动程序。 svchost.exe Windows 2000/XP 的文件保护系统 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标) mstask.exe 允许程序在指定时间运行。 regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister winmgmt.exe 提供系统管理信息(系统服务)。 iinfo.exe msftpsvc,w3svc,iisadmn tlntsvr.exe tlnrsvr tftpd.exe 实现 TFTP Inter 标准。该标准不要求用户名和密码。 termsrv.exe termservice dns.exe 应答对域名系统(DNS)名称的查询和更新请求。 tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。 i *** serv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。 ups.exe 管理连接到计算机的不间断电源(UPS)。 wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。 llssrv.exe 证书记录服务 ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 RsSub.exe 控制用来远程储存数据的媒体。 locator.exe 管理 RPC 名称服务数据库。 lserver.exe 注册客户端许可证。 dfssvc.exe 管理分布于局域网或广域网的逻辑卷。 clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页 面。 msdexe 并列事务，是分布于两个以上的数据库，消息队列，文件系统 或其它事务保护护资源管理器。 faxsvc.exe 帮助您发送和接收传真。 cisvc.exe 索引服务 dmadmin.exe 磁盘管理请求的系统管理服务。 mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌 面。 dde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 *** logsvc.exe 配置性能日志和警报。 rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和 本地通信控制安装功功能。 RsEng.exe 协调用来储存不常用数据的服务和管理工具。 RsFsa.exe 管理远程储存的文件的操作。 grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向 一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。 SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控 制。 snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作 站汇报。 snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息， 然后将消息传递到运行在这台计算机上 SNMP 管理程序。 UtilMan.exe 从一个窗口中启动和配置辅助工具。 msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 另外,有很多朋友都有这样的疑问:我的开机进程里有 *** ss.exe和csrss.exe两个文件， 有什么作用？ 进程文件: *** ss or *** ss.exe 进程名称: Session Manager Subsystem 描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及 COM，调用Win32壳子系统和运行在Windows登陆过程。 常见错误: N/A 是否为系统进程: 是 进程文件: csrss or csrss.exe 进程名称: Client/Server Runtime Server Subsystem 描述: 客户端服务子系统，用以控制Windows图形相关子系统。 常见错误: N/A 是否为系统进程: 是 所以,对自己不熟悉 没有把握的进程, 不要随便结束它.建议:把你认为有问题的进程比 如"csrss.exe",在google里搜索"csrss.exe",就会获得相关的知识.

Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析;对于抵御中间人攻击和DoS攻击,给出了相应的修正方法;还对主模式下预共享密钥验证方法提出了新的建议;最后给出了它的两个发展趋势:JFK和IKEv2. 　　Internet key exchange (IKE) is the protocol used to set up a security association in the IPsec protocol suite, which is in turn a mandatory part of the IETF IPv6 standard, which is being adopted (slowly) throughout the Internet. IPsec (and so IKE) is an optional part of the IPv4 standard. But in IPv6 providing security through IPsec is a must. 　　Internet密钥交换（IKE）解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 　　IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。 　　IKE （艾克）美国五星上将 德怀特·戴维·艾森豪威尔[1](Dwight David Eisenhower昵称

TIMPlatform是QQ的 RavStub RavTask是瑞星的

映射1723端口

用的是不是模拟器啊？

c2800-adventerprisek9-mz.123-14.T7.bin试试这个

你可以去H3C官方网站的服务支持-文档中心-查找路由器的文档。这种命令行配置的路由器建立ipsecvpn关键点很多。没有这块基础的普通用户很难自己搞定。建议找代理商解决。另外从网上找了点资料，你看看有没有用。给你个ipsecovergre的脚本，自己研究下ikepeercenter/配置到中心的ikepeer/exchange-modeaggressive/设置IPSec为野蛮方式/pre-shared-keyabc/预共享密钥为abc/id-typename/选择名字作为ike协商过程中使用的ID/remote-namecenter/对端的名字为center/remote-address10.0.0.1/对端的地址为10.0.0.1（中心的tunnel地址）/#ipsecproposal1/定义ipsecproposal/#ipsecpolicybranch110isakmp/配置到中心的ipsecpolicy/securityacl3001/指定安全策略所引用的访问控制列表号/ike-peercenter/引用ikepeer/proposal1/引用ipsecproposal/#aclnumber3001/定义从分部1到中心的内网数据流/rule0permitipsource192.168.2.00.0.0.255destination192.168.1.00.0.0.255#interfaceSerial2/0link-protocolpppipaddress202.101.2.2255.255.255.252#interfaceTunnel0/配置分部1和中心之间的GREtunnel/ipaddress10.0.0.2255.255.255.252source202.101.2.2destination202.101.1.2ipsecpolicybranch1/在tunnel0上应用IPSecpolicybranch1/#

很多用户都对于自己机器的进程不是很明白，有时总误认为是病毒的进程，希望介绍一些系统的小知识，便于大家使用计算机。 最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）: smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) svchost.exe 包含很多系统服务 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）: mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基 于 Windows 的程序。(系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉 tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务) ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 RPC 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务) msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) smlogsvc.exe 配置性能日志和警报。(系统服务) rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务) grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务) SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序 。(系统服务) UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) 详细说明： win2k运行进程 Svchost.exe Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 在系统的%systemroot%system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要 加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务， 以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 Svchost.exe 组是用下面的注册表值来识别。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost 每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的 例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个 或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesService explorer.exe 这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个 进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。 通常不会对系统产生什么负面影响。 internat.exe 这个进程是可以从任务管理器中关掉的。 internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置 HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。 internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。 当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。 lsass.exe 这个进程是不可以从任务管理器中关掉的。 这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是 通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入 令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。 mstask.exe 这个进程是不可以从任务管理器中关掉的。 这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。 smss.exe 这个进程是不可以从任务管理器中关掉的。 这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的， 包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些 进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么 不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。 spoolsv.exe 这个进程是不可以从任务管理器中关掉的。 缓冲（spooler）服务是管理缓冲池中的打印和传真作业。 service.exe 这个进程是不可以从任务管理器中关掉的。 大多数的系统核心模式进程是作为系统进程在运行。 System Idle Process 这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。 winlogon.exe 这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。 winmgmt.exe winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化 taskmagr.exe 这个进程就是任务管理器。 在知道里找到不少制作QQ空间的代码。但每次我在新建模块无论在网址里还是评论里输入代码最后保存都没有显示相应的效果，请问具体制作步骤是怎样？ winXP进程全接触 Windows 2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如 现在系统中运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然， 不知道它们是做什么的，会不会有可疑进程（病毒，木马等）。本文的目的就是提供一 些常用的Windows 2000 中的进程名，并简单说明它们的用处。 在 WINDOWS 2000 中,系统包含以下缺省进程： Csrss.exe Explorer.exe Internat.exe Lsass.exe Mstask.exe Smss.exe Spoolsv.exe Svchost.exe Services.exe System System Idle Process Taskmgr.exe Winlogon.exe Winmgmt.exe 下面列出更多的进程和它们的简要说明 进程名 描述 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安 全驱动程序。 svchost.exe Windows 2000/XP 的文件保护系统 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标) mstask.exe 允许程序在指定时间运行。 regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe msftpsvc,w3svc,iisadmn tlntsvr.exe tlnrsvr tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。 termsrv.exe termservice dns.exe 应答对域名系统(DNS)名称的查询和更新请求。 tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。 ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。 ups.exe 管理连接到计算机的不间断电源(UPS)。 wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。 llssrv.exe 证书记录服务 ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 RsSub.exe 控制用来远程储存数据的媒体。 locator.exe 管理 RPC 名称服务数据库。 lserver.exe 注册客户端许可证。 dfssvc.exe 管理分布于局域网或广域网的逻辑卷。 clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页 面。 msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统 或其它事务保护护资源管理器。 faxsvc.exe 帮助您发送和接收传真。 cisvc.exe 索引服务 dmadmin.exe 磁盘管理请求的系统管理服务。 mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌 面。 netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 smlogsvc.exe 配置性能日志和警报。 rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和 本地通信控制安装功功能。 RsEng.exe 协调用来储存不常用数据的服务和管理工具。 RsFsa.exe 管理远程储存的文件的操作。 grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向 一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。 SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控 制。 snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作 站汇报。 snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息， 然后将消息传递到运行在这台计算机上 SNMP 管理程序。 UtilMan.exe 从一个窗口中启动和配置辅助工具。 msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 另外,有很多朋友都有这样的疑问:我的开机进程里有smss.exe和csrss.exe两个文件， 有什么作用？ 进程文件: smss or smss.exe 进程名称: Session Manager Subsystem 描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及 COM，调用Win32壳子系统和运行在Windows登陆过程。 常见错误: N/A 是否为系统进程: 是 进程文件: csrss or csrss.exe 进程名称: Client/Server Runtime Server Subsystem 描述: 客户端服务子系统，用以控制Windows图形相关子系统。 常见错误: N/A 是否为系统进程: 是 所以,对自己不熟悉 没有把握的进程, 不要随便结束它.建议:把你认为有问题的进程比 如"csrss.exe",在google里搜索"csrss.exe",就会获得相关的知识.

第一个包，发起端协商SA，使用的是UDP协议，端口号是500，上层协议是ISAKMP，该协议提供的是一个框架，里面的负载Nextpayload类似模块，可以自由使用。可以看到发起端提供了自己的cookie值，以及SA的传输集。整个IPSEC从建立到数据传输可以分为两个阶段。阶段一主要是协商建立一个主密钥，所有后续用户的密钥都根据主密钥产生，阶段一主要是在通信双方间建立一条经过身份验证并且加密的通道。阶段二使用阶段一建立的安全通道，协商安全联盟和用于保护用户数据的密钥。

保护脆弱的服务通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。 网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。Firewall设计策略Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。 虚拟补丁虚拟补丁也成VPatch，旨在通过控制受影响的应用程序的输入或输出，来改变或消除漏洞。这些漏洞给入侵者敞开了大门，数据库厂商会定期推出数据库漏洞补丁，由于数据库打补丁工作的复杂性和对应用稳定性的考虑，大多数企业无法及时更新补丁。数据库防火墙提供了虚拟补丁功能，在数据库外的网络层创建了一个安全层，在用户在无需补丁情况下，完成数据库漏洞防护。DBFirewall支持22类，460个以上虚拟补丁。包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.网络地址转换(NAT)是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不需要为其网络中每一台机器取得注册的IP地址.在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 分析安全和服务需求以下问题有助于分析安全和服务需求：√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。√ 增加的需要，如加密或拔号接入支持。√ 提供以上服务和访问的风险。√ 提供网络安全控制的同时，对系统应用服务牺牲的代价。策略的灵活性Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。√ 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。远程用户认证策略√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。√ PPP/SLIP连接必须通过Firewall认证。√ 对远程用户进行认证方法培训。拨入/拨出策略√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。√ 外部拨入用户必须通过Firewall的认证。Information Server策略√公共信息服务器的安全必须集成到Firewall中。√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。√ 为Information server定义折中的安全策略允许提供公共服务。√ 对公共信息服务和商业信息(如email)讲行安全策略区分。Firewall系统的基本特征√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。√ Firewall必须支持增强的认证机制。√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。√ Firewall可支持对拨号接入的集中管理和过滤。√ Firewall应支持对交通、可疑活动的日志记录。√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。√ Firewall的设计应该是可理解和管理的。√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。 (1) 安全性：即是否通过了严格的入侵测试。(2) 抗攻击能力：对典型攻击的防御能力(3) 性能：是否能够提供足够的网络吞吐能力(4) 自我完备能力：自身的安全性，Fail-close(5) 可管理能力：是否支持SNMP网管(6) VPN支持(7) 认证和加密特性(8) 服务的类型和原理(9)网络地址转换能力 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。我们将病毒的途径分为：(1 ) 通过FTP，电子邮件传播。(2) 通过软盘、光盘、磁带传播。(3) 通过Web游览传播，主要是恶意的Java控件网站。(4) 通过群件系统传播。病毒防护的主要技术如下：(1) 阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2) 检查和清除病毒。使用防病毒软件检查和清除病毒。(3) 病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：(1) 入侵者可寻找防火墙背后可能敞开的后门。(2) 入侵者可能就在防火墙内。(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。入侵检测系统是新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类：√ 基于主机√ 基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：上述模型由四个部分组成：(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。(3) countermeasure执行规定的动作。(4) Storage保存分析结果及相关数据。基于主机的安全监控系统具备如下特点：(1) 精确，可以精确地判断入侵事件。(2) 高级，可以判断应用层的入侵事件。(3) 对入侵时间立即进行反应。(4) 针对不同操作系统特点。(5) 占用主机宝贵资源。基于网络的安全监控系统具备如下特点：(1) 能够监视经过本网段的任何活动。(2) 实时网络监视。(3) 监视粒度更细致。(4) 精确度较差。(5) 防入侵欺骗的能力较差。(6) 交换网络环境难于配置。基于主机及网络的入侵监控系统通常均可配置为分布式模式：(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。选择入侵监视系统的要点是：(1) 协议分析及检测能力。(2) 解码效率(速度)。(3) 自身安全的完备性。(4) 精确度及完整度，防欺骗能力。(5) 模式更新速度。 网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：(1) 速度。在网络内进行安全扫描非常耗时。(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。(3) 能够发现的漏洞数量。(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。 认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面：(1) 路由器认证，路由器和交换机之间的认证。(2) 操作系统认证。操作系统对用户的认证。(3) 网管系统对网管设备之间的认证。(4) VPN网关设备之间的认证。(5) 拨号访问服务器与客户间的认证。(6) 应用服务器(如Web Server)与客户的认证。(7) 电子邮件通讯双方的认证。数字签名技术主要用于：(1) 基于PKI认证体系的认证过程。(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。UserName/Password认证该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。使用摘要算法的认证Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。 1、 企业对VPN 技术的需求企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：来自internet的未经授权的对企业内部网的存取。当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证：保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。2、数字签名数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。类 型 技 术 用 途基本会话密钥 DES 加密通讯加密密钥 Deff-Hellman 生成会话密钥认证密钥 RSA 验证加密密钥基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。3、IPSECIPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。Ipsec包含两个部分：(1) IP security Protocol proper，定义Ipsec报文格式。(2) ISAKMP/Oakley，负责加密通讯协商。Ipsec提供了两种加密通讯手段：Ipsec Tunnel：整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数均使用该模式。ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。(易于管理)。在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络通讯。由于Ipsec即将成为Internet标准，因此不同厂家提供的防火墙(VPN)产品可以实现互通。 由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。1、域名服务Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有：(1) 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。(2) 域名服务器及域名查找应用安装相应的安全补丁。(3) 对付Denial-of-Service攻击，应设计备份域名服务器。2、Web Server应用安全Web Server是企业对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。Web Server经常成为Internet用户访问公司内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：(1) Web服务器置于防火墙保护之下。(2) 在Web服务器上安装实时安全监控软件。(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。(4) 经常审查Web服务器配置情况及运行日志。(5) 运行新的应用前，先进行安全测试。如新的CGI应用。(6) 认证过程采用加密通讯或使用X.509证书模式。(7) 小心设置Web服务器的访问控制表。3、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。加强电子邮件系统的安全性，通常有如下办法：(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。(2) 同样为该服务器安装实施监控系统。(3) 该邮件服务器作为专门的应用服务器，不运行任何其它业务(切断与内部网的通讯)。(4) 升级到最新的安全版本。4、 操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：(1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。(2) 基于系统的安全监控系统。

这么简单，直接 接两个就可以了 写个静态

outside IP，从inside的电脑上去 ping是不会通的。。你inside的电脑去ping inside接口能否通？如果能通，检查下你的这台PC，是否开启了防火墙，如果开启了关闭防火墙后（自带的和你自己安装的），再从防火墙上去ping 测试下。

华为设置ikev2，先打开手机，链接电脑，下载相关软件，具体步骤如下：1、为IPSec做准备：确定要保护的主机和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据流通过。2、根据对等体的数量和位置在IPSec对等体间确定一个IKE（IKE阶段1，或者主模式）策略。3、确定IPSec（IKE阶段2，或快捷模式）策略，包括IPSec对等体的细节信息。4、配置IKE配置IKE涉及到启用IKE（和isakmp是同义词），创建IKE策略，和验证我们的配置。5、配置IPSecIPSec配置包括创建加密用访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去即可。

九@州动态IP地址切换器，是用于在不同网络环境下快速切换IP地址等网络配置的软件工具。1、给客户提供换ip功能，包含静态线路和动态线路选择2、提供全国20多个省160多个城市千万ip地址随意选择3、提供静态ip.动态ip地址供客户长期使用多IP地区

　1.IPSecIPSec 是Internet Protocol Security的缩bai写,它是设计为IPv4和IPv6协议du提供zhi基于加密安全的dao协议，它使用AH和ESP协议来实现其安全，使用 ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商(Security Association)。IPSec安全协议工作在网络层，运行在它上面的所有网络通道都是加密的。IPSec安全服务包括访问控制、数据源认证、无连 接数据完整性、抗重播、数据机密性和有限的通信流量机密性。IPSec使用身份认证机制进行访问控制，即两个IPSec实体试图进行通信前，必须通过 IKE协商SA，协商过程中要进行身份认证，身份认证采用公钥签名机制，使用数字签名标准(DSS)算法或RSA算法，而公通常是从证书中获得的; IPSec使用消息鉴别机制实现数据源验证服务，即发送方在发送数据包前，要用消息鉴别算法HMAC计算MAC，HMAC将消息的一部分和密钥作为输入， 以MAC作为输出，目的地收到IP包后，使用相同的验证算法和密钥计算验证数据，如果计算出的MAC与数据包中的MAC完全相同，则认为数据包通过了验 证;无连接数据完整性服务是对单个数据包是否被篡改进行检查，而对数据包的到达顺序不作要求，IPSec使用数据源验证机制实现无连接完整性服务; IPSec的抗重播服务，是指防止攻击者截取和复制IP包，然后发送到源目的地，IPSec根据 IPSec头中的序号字段，使用滑动窗口原理，实现抗重播服务;通信流机密性服务是指防止对通信的外部属性(源地址、目的地址、消息长度和通信频率等)的 泄露，从而使攻击者对网络流量进行分析，推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式，对IP包进行 封装，可达到一定程度的机密性，即有限的通信流机密性。

你先show crypto is 看下，我从你的配置上看，应该是QM_IDLE状态。。。不通应该是你的ACL问题的。。。你可以通过show cry ips sa 来查加解密包。。建议在R2上去掉access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255在R3上去掉access-list 110 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

你这样没法回答阿，VPN有很多种，配法都不一样的，而且还要看拓扑。

不能访问内网资源是什么意思？web，ftp

检查ISKMP sa是否建立检查加密点两端是否可以ping通检查预共享密钥是否匹配检查各种配置等等

IPSec VPN在定义上是指采用IPSec协议来实现远程接入的一种VPN技术，是从桌面客户端到目标网络的开放式网络。而IPSec则是由Internet Engineering Task Force (IETF)定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全。 不知道我的回答是否对你有所帮助