GRE over IPsec 与IPsec over GRE的区别(6)

SINFOR SSL VPN安全网关内置了CA中心，企业或者事业单位可自建CA中心，用户可不必购买单独的CA认证体系，为企业减少了投入成本。同时，SINFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。

SINFOR SSL VPN安全网关内置有LDAP/AD、Radius、Secur ID、短信认证等多种安全认证方式，可以根据相应的安全级别，对客户端组合几种认证方式，最大限度地保证了接入用户的合法性。

当前，间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。深信服科技采用了基于手机短信的动态身份认证系统来消除该隐患，方便易用，保证了用户使用SSL VPN访问总部资源时的安全性。

3.6 提供细致的接入权限控制功能

SINFOR SSL VPN通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。

3.7 完善的用户和资源管理

SINFOR SSL VPN内置有多种用户和资源管理方式，可以自建用户，也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证，可以根据用户、用户组、公用帐号、私有帐号等多种方式对用户进行管理。管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式，为远程接入用户分配细致的访问权限控制。

同时，SINFOR SSL VPN集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式，保证了用户合理地使用VPN资源。并且，在SSL VPN网关中的直观式管理图形用户界面（GUI）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个VPN系统的运行状况。

3.8 支持动态IP、方便易用

由于宽带的普及以及ADSL资费的降低，国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。SINFOR SSL VPN集成了深信服科技独创的基于Web的动态IP寻址技术（专利技术），使的SINFOR SSL VPN网关在部署的时候无需固定IP，完全支持动态IP。并且，当企业在使用SINFOR SSL VPN网关的SSL VPN功能时，可以使用和IPSec VPN 相同的Webagent来解析网关的动态IP，减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时，也更加便捷。由于支持动态IP

VPN出现721错误的解决办法

局域网中的机器有的可以访问VPN服务器，有的不能，仔细检查，发现出问题的机器是打了SP2补丁。 解决办法如下

以下操作均在客户机上

1. 单击“开始”，然后单击“运行”。

2. 在“打开”框中，键入 regedit，然后单击“确定”。 3. 在注册表编辑器中，找到以下子项

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002bE10318}\\<000x>

其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。 4. 在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。

5. 键入 ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。 6. 退出注册表编辑器。 7. 重新启动计算机。

打造史上最强ipsec vpn实例教程

以下为路由器A的配置，路由器B只需对相应配置做更改即可 1：配置IKE

router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进

行身份验证

router(config-isakmp)# encryption des #使用des加密方式

router(config-isakmp)# group 1 #指定密钥位数，group 2安全性更高，

但更耗cpu

router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式：sha，rsa)

router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400

秒，两端要一致

以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2：配置Keys

router(config)# crypto isakmp key cisco1122 address 10.0.0.2

--(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址) 3：配置IPSEC

router(config)# crypto ipsec transform-set abc esp-des esp-md5-hmac

配置IPSec交换集

abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。 router(config)# crypto ipsec security-association lifetime 86400

ipsec安全关联存活期，也可不配置，在下面的map里指定即router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 4.配置IPSEC加密映射

router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图

router(config-crypto-map)# match address 110 用ACL来定义加密的通信 router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP地址router(config-crypto-map)# set transform-set abc 指定加密图使用的 IPSEC交换集

router(config-crypto-map)# set security-association lifetime 86400 router(config-crypto-map)# set pfs group 1

5.应用加密图到接口

router(config)# interface ethernet0/1 router(config-if)# crypto map mamap 相关知识点：

对称加密或私有密钥加密：加密解密使用相同的私钥 DES--数据加密标准 data encryption standard

3DES--3倍数据加密标准 triple data encryption standard AES--高级加密标准 advanced encryption standard 一些技术提供验证：

MAC--消息验证码 message authentication code

HMAC--散列消息验证码 hash-based message authentication code MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据，因为非对称加密站用大量cpu资源 非对称或公共密钥加密： RSA rivest-shamir-adelman

用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密

两个散列常用算法：

HMAC-MD5 使用128位的共享私有密钥

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库GRE over IPsec 与IPsec over GRE的区别(6)在线全文阅读。