飞牛怎么设置IPsec

大家好，今天为大家讲解一下 ipc 可网对网的使用方法。首先我们进到路由器页面看一下具体配置， 我们还是拿总部和分公司来举例，比如说总部和分公司的路由器要进行一个 ipc 可网对网的连接，我们来看一下设置方法。那么首先比如说这个就是我总部的路由器，我要来进行一个配置 名称，这个是随便填。 ipc 可网对网主动连接，这个是默认打开的， 这里是举例。所以说我直接用的内网地址，如果是真实环境用的话，他两端的地址都必须是官网 ip 才可以，比如我这里设置的是万一，那么对端在填写远程隧道地址的时候，就必 必须填换一口的 ip 地址，否则他就会创建失败。这里的模式有一个主模式和野蛮模式，主模式主要适用于就是两设备的公网 ip， 是固定的静态 ip 地址的环境。野蛮模式适用于两设备的公网 ip， 不是 静态 ip 的环境。这个本地网络就是我总部的，就是我自己的内网网段，比如说我自己是幺九二点幺六八点一点一，我这里就填幺九二点幺六八点一点零， 直往严码默认是三个二五五点零。远程隧道地址，这个填的就是对端的公网 ip 地址。远程网络这个也是填的对端的内网网，端的地址直往严码默认是三个 五点零。其他的参数就是默认是不需要修改或高级参数里面的参数默认也是不需要修改的，这个是我们总部的设置，就已经填写好了，然后我再开启这个 ipc 客网对网的配置， 然后我们再看一下对端就是我们分布的一个设置，分布也是一样的，填写名称，然后选择一个广元网出口，本地网络也是填写我自己的一个网关地址， 然后严码默认的，不用修改。然后隧道类型是静态地址， 远程隧道地址这里填写的就是我对端的一个公网 ip 地址，远程网络填写的是对端的内网网段地址，然后其他的参数也是默认的， 不需要修改。然后我们再打开这个网对网的配置，那么这样 id 这个网对网的配置就完成了。我们再来看一下他的连接状态，在这个列表里面就可以看到连接状态显示的是连接就代表已经连接成功了， 那么两端 ipc 网对网成功之后，双方就可以互访内部网络。 如果 ipc 的网对网连接不成功，那么首先我们第一要看一下远程隧道地址是不是官网 ip， 那么第二就是要核对一下两端的参数是不是一致的， 那么第三就是两端的内网网段是不能冲突的，就是两端的内网网端必须是不同的。好了， ipc 可网对网的方式今天就为大家介绍到这里。

同学们好，今天我们继续来学习网络技术基础课程，我是讲师李庆茹，今天我们学习第十二章微拼隧道技术当中的第五个小节， ip 赛克的封装模式。 埃 p 赛克的封装模式，也可以称之为叫埃比赛克的封装方法，我们前面最熟悉的已经是隧道技术里面讲了 gr e 的实线， 那么 gr e 呢？他那种封装方法就是隧道模式的封装方法。但是埃比赛克呢，他有两种封装方法的选择 啊，一种我们称之为叫传输模式，一种叫隧道模式。那实际上在我们这个 隧道的应用当中，其实我们非常担心的一个问题，我们称之为叫碎片问题，其实我们 前面曾经在讲 ip 的时候，我们讲过，呃，分片问题，分片问题是有什么引起来的呢？是有 mtu 引起来的，因为链路层的 mtu 引起来的。那现在啊，如果说我们原始的数据， 原数据， 当这个原始的数据啊， 包括原始的 ip 爆头以及数据，然后如果我们做了一个 yesp 或者 agr e 呀或 ah 这些封装，比方说我们用了 ysp 来进行封装， 封装了以后，我们又增加一个新的 ip 爆头， 新的 ip 头， 那这样无疑将来你要再通过链路层封装，那么你这一部分 就变成我的新的 mtu 了，他受新的 mtu 这个影响，如果我原始的数据，也就是原始的 ip 爆头加数据，我就已经达到一千五了， 表已经达到一千五了，你又加了 esp 的头，又加了新的 ip 头，那这样的话，你是不是已经超过一千五？ 那你超过一千五，如果将来在网络中传，那你是不是就引起分片了呀？因为你将来你在最外面还要加链层信息，如果用仪态网来封装的话，你还要加仪态网包，仪态网的针头，那这样的话你超过一千五不就引起碎片的问题了吗？ 所以我们在 ips 在设计的时候呢，或者是其他隧道技术在实现的时候，一定要考虑这个碎片问题， 碎片问题就是会导致我们的这个效率低下，还有因为我们增加了新的 ip 头，无外乎多传了东西，你最起码要多传二十个字键。 所以埃比赛克在实现的时候呢，他就有两种封装方法，他这两种封装方法，第一种我们称之为叫传输模式封装， 那么这种传输木耳封装呢？就是 ah 或者 esp 在封装的时候，他在原始的数据中间，你看这是原始的 ip 爆头， 记住啊，这是原始的 ip 爆头，然后这是原始的那些 tcp 啊或者是数据，然后我 a 是封装的时候，我把这个 a 十的爆头插入到啊原始的 ip 爆头和 tcp 头 中间来插入个 ah 的头部。如果用 ysp 封装的话，我把 esp 放到这来，当然 esp 还有 尾部以及认证部分，你看 a 是做认证的时候对这一部分做认证，那 esp 做认证的时候只对对这一部分做认证，只对这一部分做加密 啊。如果 ah 和 esp 同时用的话，就是先插入 esp， 再插入 ah， 然后这是原始的 ip 爆头啊，这样的话这叫传输模式封装，那传输模式封装就不能实现。我们的私网地址，胯工网。一般来说，我们在做那个 gr 实验的时候，我们通过两个微频网关实现了 gr 隧道的通信，让我们的丝网数据能够跨越官网来通信， 那这时候你用这种传输模式封装，那不行，为什么呀？因为你这个原始的 ip 爆头里面都是丝网的数据，那肯定跨越不了官网啊。所以 ips 在封装的时候呢，还有第二种封装方法，那就是隧道模式封装。 隧道模式封装，这就和我们的加一差不多了，那就是说我先增加一个 ah 的头，再增加一个新的 ip 头，然后我增加 ysp 的时候，插入一个 esp 头，加入 esp 的尾部，加入一个 esp 的认证数据，然后再加一个新的 ip 头 啊，你看他在认证的时候所有的都是进行认证，他在认证的时候呢，是只是包括 esp 的部分，然后加密的时候只是，对啊，原始的 ip 头啊，原始的数据以及 sp 的尾部，哎，对这部分做了加密了，然后 ah 和 esp 用的时候先用 esp 封装，然后再用 ah 封装， 再封装一个新的 ip 包头，这样的话我们的这个数据呢，就会变得很大啊，这是隧道模式的封装，那隧道模式的封装相对来说可以让我们的官网数私网数据跨越官网来进行同心，那一般来说站点到站点的微拼， 这我们一般会使用隧道模式碰撞，那什么叫站点到站点的为拼呢？这种就叫站点到站点为拼， 这是我总部路由器，这是我分支路由器，那我总部的后面有很多网络， 比方我还有交换机啊，我还有交换机，那我连着交换机，交换机又连着好多网段啊，那么这边也是也会连着好多网段，那么这 这时候我们的加密呢？实际上是发生在这个陆续的外网口和这，我们从这来进行保护的，这隧道是从这来开始的。 其实我们这个隧道这有个电脑通信和这个电脑通信，他们之间这一块就是正常的包，这一块也就是正常的包，那我们到了这才钻隧道呢，所以这种情况下这就是一个站点，我们称之为叫 cat， 哎，这个 a， 那这边呢？我们就为 cate。 我们这个隧道起到的作用就是能保护，能让我们这个站点的数据 和这个站点内网的通讯都能安全保护啊，能够实现一个局网和另外一个 渔网的安全通信。像这种的时候我们应该用隧道模式封装 啊，隧道模式已经封装，如果说我想实现这个，你比如说这个电脑和这个电脑，他们俩之间搭一个 ip， 三个隧道， 那这时候我告诉大家，你用隧道模式封装就会加大我们的数据传输，就让我们的数据传输更多，所以这种的情况下，我们可以就是用传输模式封装 啊，站点到站点的为拼，我们用隧道模式封装，如果说你看到你这个电脑 和这个电脑你们俩通信，这叫通信点，这叫通信点， 这是个通信点，这是个通信点。 如果你们的隧道也是发生在你们俩电脑之间，你的隧道也是发生在这，那这个隧道我们称之这个点，我们称为加密点，也叫隧道点啊，也叫加密点。 如果是通讯点啊，通讯点 和加密点他们俩是同一个点，那这时候我们用传输模式封装 再看，如果我们在站点到站点微频当中能加密点，其实在这也就是你的加密点其实在这来了， 而你的通讯点是这两台电脑，这是通讯点，而你的加密点是发生在这加密点不等于通讯点，这时候应用什么呀？隧道模式封装，所以站点到站点的微拼，我们应该用隧道模式封装。 而将来我们如果实现 gr e 和 ipssx 结合的时候， 这时候通讯点和加密点就是相同的，我们就可以采用传输模式封装。传输模式他不会加新的 ip 爆头，所以他传的东西要少，他的效率要高 高一些隧道模式会增加新的 ip 爆头，他传的东西多，但是他能够实现让我们的丝网数据跨越公网进行通信。所以什么时候用隧道模式，什么时候用传输模式，我们要根据我们真实情况来采用啊他的封装方法， 同学们回去以后完成我们课后的练习，深刻体会 啊隧道模式和传输模式这两种封装的方法。

大家好，我是爱快技术部的小新，本节课程讲解的是 ipccvpn， 接下来我们将通过三个方面来为大家讲解一下 ipccvpn 的使用方法。一、名词解释， ipc 可是英特勒特工程任务组制定的一个开放的网络城安全框架协议，在此页面可设置 apc， 可 vpn 的对接。二、页面介绍，接下来我们切换到路由页面讲解一下。 在网络设置微片客户端， ipc 可微片中添加微片配置名称，设置微片拨号名称。对方 ip 域名，填写公网 ip 地址或者是域名本地 一直往天线本地内网网断零点零点零点零喜杠铃表示内网所有的网断， 对方指网。 ipc 可对端服务的内网指网网段。本地支持 ik 一 v 一和 ik 一 v 二两个版本，选择 ik 一 v 一时需要选择 ik 一的协商模式。 还可以协商模式有主模式和积极模式，有的陆游的积极模式也成为野蛮模式。 对接时两段路由的模式需要选择一致。 i k 以存活时间通道重新协商的时间， i 快入游的时间单位为小时，两段路由对接时存 生活时间需要划算成对等的时间。还可以提议分为加密算法、认真算法以及密要交换算法。两段路由需要设置一致。此处以自动协商为例。 认证方式分为与共享密要、和值签证书，两段路由的认证方式需要一致。此处以与共享密要为例。 本地标识对方标识标识双方身份，本地标识和对方标识不能配置为相同，且不能为空。以 sp 存活时间， 两段路由对接时存活时间需要换算成对等的时间。 sp 加密算法 以及认真算法 ipc 可通道的安全策略，连端路由对接时需要配置一致。 dpd 探测 根据需求开启设置完成后保存配置。接下来设置另一端陆游与此陆游对接，配置方法与此陆游一致， 显示已连接代表对接成功。注意事项，一、两段路由选择的 i k e 版本需要一致。二、 ipc 可谓 pn 与 ltp 与共享密要冲突，不可同时启用。 三、选择 ikev 版本的时候，两端的模式需要一致。 四、选择 i k e v e 版本时， i k e 提议两段的参数配置要一致，当自动协商时，两段必须选择为自动协商。五、选择 i k e v 一时对方指望只能填写一个。 六、当两端距为 i 快，选择 ikv 二版本，并且有多个对端指网时，对端的本地指网需要填写为零点、零点、零点零、斜杠零。七、本地标识和对方标识不能配置成相同的。 八、 ikev 二版本时， ike 提议两段参数要配置一致，当自动协商时，仅一段配置自动协商，另一段配置，具体的参数也可以。 九、如 ipc 可谓篇不过类的，两端设备即可充当服务器，也可以充当客户端。 十、爱快路由目前不支持 pfs 协议。三、常见问题，两段内 无法复仿。排查方法，一、使用拼测试拼对端烂口网关是否可以通，不过可以，但是拼不通下面的设备。检查这个设备是否有开启防火墙，是否有设置了网关并可以正常上网。 二、使用穿射头功能看路径是否正确，在达到哪个网关的时候无法寻找到下一条地址。三、如以上排查方法都无法解决，可以联系快的技术人员帮忙排查问题。 注意爱快路由。从三点四点六版本开始，微片之间付房可以不用勾选微博访问控制，但 ipc 可微篇互访，必须勾选微博访问控制。 以上是关于 ipc 可谓片的讲解，感谢大家的观看，我们下期再见！

今天来折腾一个跨越砖网，这是我们的组网图，办公室用的锐捷二 gmbr 六幺二零一通电开机 插入网线，恢复出厂设置。笔记本电脑自动获取 ip， 通过浏览器登录 修改内网 ip， 笔记本重新获取 ip， 通过修改后的内网 ip， 登录 连接后的网络，就这个样子的。 看下笔记本的界面，选择网络 page， vpn 选择我在分支机构，这里是 bipsec 总部地址 共享秘药总部网段， 根据总部防火墙的配置来完善本地相关配置， 配置完成来测试一下通信正常。今天的视频就到这里，下期见。