取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

【专家面对面】安全VPN 常见问题解答

5955
查看次数
40
有帮助
24
评论
Yanli Sun
Community Manager
活动第二周获奖用户如下:

gengchunlin
恭喜以上用户将获得由Junling Yao老师翻译的《CCNP安全VPN 642-648认证考试指南》(第2版)一本
请在收到获奖通知邮件10日内回复我们,提供联系方式领奖。

活动第一周获奖用户如下:
suzhouxiaoniu
--------------------------------------------------------------------------------------------------------------
本期【专家面对面】活动,我们邀请到了 思科技术支持专家、《CCNP安全VPN 642-648认证考试指南》(第2版)译者Junling Yao,为大家解答安全VPN常见问题。


活动主题:安全VPN 常见问题解答
主要包括:1. vpn类型及优势
2. 防火墙的数据转发路径
3. ASA Failover
4. 防火墙的故障排错思路
活动时间: 2016年04月29日-05月13日
问答专家: Junling Yao
Junling Yao, Cisco Technical Support Engineer
职称:技术支持专家
认证:CCIE Routing Switch/Security/Service Provider/Voice
解决方案:Security, Wireless
产品:ASA,ACS,ISE,IPS,WLC,AP,PI,MSE
客户领域:FSI, OTT, Enterprise,SP

活动奖品:由Junling Yao老师翻译的CCNP安全VPN 642-648认证考试指南(2),共2本

参与方式:在本帖下跟帖提出您与本次活动主题相关的问题,我们的专家会予以解答。
每周我们还会请Yao老师抽取一名幸运用户,赠送以上奖品。
如果专家的解答对您有帮助的话,记得给出星级评分哦。:handshake
24 评论
Junling Yao
Cisco Employee
gengchunlin 发表于 2016-5-9 10:44 back.gif
地址:http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_confi ...

这段话确实容易让人产生歧义, 不过在实际工作中, 思科和第三方产品互联vpn出现问题时,如果是用思科的产品开的case (case需要entitled), TAC会协助排查问题,但是如果问题定位在第三方, 那么就需要第三方的技术人员介入进行配置修改或者代码修复(如果第三方的产品有软件bug)。
ilay
Rising star
juyao 发表于 2016-5-9 13:23 back.gif
这段话确实容易让人产生歧义, 不过在实际工作中, 思科和第三方产品互联vpn出现问题时,如果是用思科的产 ...

明白了,非常感谢!
Junling Yao
Cisco Employee
wangfangjie 发表于 2016-5-6 13:05 back.gif
专家你好!
能不能针对DMVPN做下介绍,它的部署环境以及操作实施注意事项呢

DMVPN非常适合企业大规模部署这种解决情形,例如一个企业的分支机构可能有几十个,甚至上百个, 如果这时候用传统的IPsec VPN, 扩展性就会特别差。因为每增加一个分支站点,就需要在中心站点增加相关配置。如果分支站点彼此之间也要通讯的话,那么每一个站点都要和其它站点建立IPsec sa, 那么设备将花费大量的资源维护这些sa, 性能势必受到影响。
DMVPN的优势就是高扩展性,顾名思义,它翻译过来就是动态的多点VPN. 每个分支节点只需和中心站点建立配置语句,当增加新的分支节点时,无需更改中心节点的配置,而分支站点之间的流量,可以通过动态产生的隧道进行传输。
DMVPN由四大协议组成:
MGRE 协议: 这是一种特殊的GRE技术,是一个典型的NBMA网络。 所有站点(包括中心站点)的mGRE隧道接口(逻辑IP)都处于同一个网段,这样任意站点之间都可以进行通讯。实现了虚拟网状连通性。
NHRP协议:下一跳解析协议, 这个协议类似于arp协议,arp协议是把对方的ip地址解析成mac地址,即把逻辑的IP地址解析成物理的mac地址,才能最终将三层映射到二层来发送数据包, 同样在DMVPN中,NHRP负责 把下一跳的逻辑IP映射成物理地址,逻辑IP指的是mGRE隧道接口的IP地址, 而物理IP指的是每个站点的公网IP。 当分支站点需要和另外一个分支站点通讯时,它会向中心站点询问目标站点的逻辑IP对应的公网IP以实现通讯连接。
动态路由协议: 宣告隧道网络(站点的隧道接口所处的子网)和站点的私有网络,这样每个站点都能通过动态路由协议学习到其它站点的私有网络。
注意由于MGRE隧道是一个典型的NBMA网络(是不是想起了ospf的NBMA,道理类似),这种网络不能直接承载组波信息,所以我们还需要配置组波映射, 将组波转换成单播地址。
这个组波映射只需在分支站点和中心站点之间配置。动态路由协议包括RIP,EIGRP,OSPF,ODR,BGP.
IPsec技术: DMVPN实际上就是MGRE over Ipsec, 即对mGRE的流量进行加密。
具体配置时,需要注意一下几点: (以配置实例说明)
Hub的配置:
int tunnel 0
ip add 192.168.1.1 255.255.255.0 //隧道接口的逻辑IP
tunnel mode gre multipoint //配置为多点GRE
tunnel source fa0/0
tunnel key cisco123 //可选配置,但是如果配了,所有的分支站点都需配置
ip nhrp network-id 111 //配置NHRP,这个network id在其他站点上配置相同的数值
ip nhrp authentication cisco123 //可选配置,但是如果配置了,其它站点也必须配置相同的密码
ip nhrp map multicast dynamic //中心站点动态接收NHRP的组波映射
Spoke 站点1的配置:
int tunnel 0
ip add 192.168.1.2 255.255.255.0 //隧道接口的逻辑IP
tunnel mode gre multipoint //配置为多点GRE
tunnel source fa0/0
tunnel key cisco123
ip nhrp network-id 111 //配置NHRP,这个network id在其他站点上配置相同的数值
ip nhrp authentication cisco123 //可选配置,但是如果配置了,其它站点也必须配置相同的密码
ip nhrp map 192.168.1.1 202.100.1.102 //将中心站点的逻辑IP映射成中心站点的公网IP
ip nhrp map multicast 202.100.1.102 //将组波映射成中心站点的单播公网地址
ip nhrp nhs 192.168.1.1 //此配置告诉分支站点, 它的nhrp服务器的地址为192.168.1.1, 即中心站点的隧道接口地址。

Spoke 站点2的配置:
int tunnel 0
ip add 192.168.1.3 255.255.255.0 //隧道接口的逻辑IP
tunnel mode gre multipoint //配置为多点GRE
tunnel source fa0/0
tunnel key cisco123
ip nhrp network-id 111 //配置NHRP,这个network id在其他站点上配置相同的数值
ip nhrp authentication cisco123 //可选配置,但是如果配置了,其它站点也必须配置相同的密码
ip nhrp map 192.168.1.1 202.100.1.102 //将中心站点的逻辑IP映射成中心站点的公网IP
ip nhrp map multicast 202.100.1.102 //将组波映射成中心站点的单播公网地址
ip nhrp nhs 192.168.1.1 //此配置告诉分支站点, 它的nhrp服务器的地址为192.168.1.1, 即中心站点的隧道接口地址。
建议将理论部分和实际配置语句结合着看,感受会更多些。
mis0000016
Beginner
思科sslvpn是否支持对共享文件夹资源的映射及发布?
xksun725
Beginner
juyao 发表于 2016-5-9 22:52
DMVPN非常适合企业大规模部署这种解决情形,例如一个企业的分支机构可能有几十个,甚至上百个, 如果这时 ...

感谢yao专家解答,这么晚发的贴,辛苦了
Junling Yao
Cisco Employee
etiger_xu 发表于 2016-5-11 05:24 back.gif
思科sslvpn是否支持对共享文件夹资源的映射及发布?

可以,详细的配置过程可参考以下的url:
http://www.dasblinkenlichten.com/configuring-cifs-file-access-in-webvpn/
suzhouxiaoniu
Advocate
教材已收到,的确是一本很好的教材,已在内部推荐给所有的学员。:handshake
Yanli Sun
Community Manager
suzhouxiaoniu 发表于 2016-5-13 10:02 back.gif
教材已收到,的确是一本很好的教材,已在内部推荐给所有的学员。

handshake
菁菁草
Beginner
还没入门,先了解一下:)
不能显示该小部件。