虚拟系统访问根系统（公共出口） 1）FW1创建虚拟系统（添加接口到虚拟系统） 2）配置根系统 （1）划分安全区域 firewall zone untrust add interface GigabitEthernet1/0/1 firewall zone trust...

1.GRE-VPN 1）配置内网互通路由 #R1 ip route-static 172.16.1.0 24 172.16.14.4 #R4 ip route-static 0.0.0.0 0.0.0.0 172.16.14.1 #R3 ip route-static 172.17.1.0 24 172.16.35.5 #R5 ip rou...

AH认证头 1. 数据源校验，数据完整性校验，防重放 2. 无法做数据加密 在外层IP头中， 协议号=51 参数： 上层头部协议类型： 4 表示IP头 （AH里面包装了哪种消息） AH头部长度： 24字节 预留字段...

1.手工静态密钥（AH封装模式） 1）配置内网互通路由 #R1 ip route-static 172.16.1.0 24 172.16.14.4 #R4 ip route-static 0.0.0.0 0.0.0.0 172.16.14.1 #R3 ip route-static 172.17.1.0 24 172...

1.IPSEC-NAT 当IPSEC 遇到NAT问题：NAT 优先级优于IPSEC，会先进行NAT 地址转换，转换后的源IP 地址不符合感兴趣流，无法进入到IPSEC隧道，导致数据被ISP丢弃。 1）R1配置IPSEC-ACL acl number ...

1.IKE基础 IKE （协议框架/混合协议） Oakley ： 定义IKE自由形态 ，可以使IPSEC与时俱进 （程序） SKEME ： 定义IKE进行密钥交换方式 （DH 迪夫-赫尔曼算法/密钥交换协议）（程序） ISAKMP ： ...

1.无固定IP场景-DDNS 当访问一个站点如果站点是固定IP ， 用户可以直接通过固定IP 方式进行访问对应站点，也可以通过域名方式进行访问，无需通过DDNS进行动态注册。在域名购买服务商进行静态绑...

1.无固定IP场景-野蛮模式 早期主模式不能使用在非固定IP场景下，进行身份验证密钥查找时，只能根据IP地址进行查找，不能根据域名方式进行查找预共享密钥-无法进行身份验证，早期解决方案使用野...

1.无固定IP场景-主模式（R1和R3都不固定IP） 1）R1（基础配置同上） #ike proposal配置 ike proposal 5 encryption-algorithm aes-cbc-128 #ike local-name配置 ike local-name www.dsrw.cn #ik...

1.防火墙区域配置 #FW1配置 firewall zone trust add interface GigabitEthernet1/0/1 firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 #FW2配置 firewall zone trus...