GRE over IPsec 与IPsec over GRE的区别

IPSEC Over GRE与GRE Over IPSEC的区别和好处~

昨天发了个关于GRE故障解决过程的帖子，网友jhaterry的分析问题和解决问题的能力很棒，总结的也很好，为了更好的让午饭们理解IPSEC Over GRE与GRE Over IPSEC的区别与好处，特有下文与大家分享，通过此文希望能让大家更好的理解IPSEC与GRE，更好的根据实际情况将该技术应用到实际环境和项目中下面进入正题：

到底是IPSEC Over GRE好呢，还是GRE Over IPSEC好？以前一直是出于一个模糊的状态，能通就行了么。今天再次作了一下研究比较，得出的结论是，当然是GRE Over IPSEC好！

在此，先把这两个概念理一下。IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。 IPSEC Over GRE：

a. 访问控制列表，针对两个网段的数据流，如： ip access-list extended vpn12

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 b. 加密图放在Tunnel口 GRE Over IPSEC：

a. 访问列表，针对两个路由器之间的GRE流，如： ip access-list extended vpn12

permit gre host 172.16.11.2 host 172.16.22.2 b. 加密图作用在物理口。

1、两者的封包过程

IPPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。做法是把IPSEC的加密图作用在Tunnel 口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC 包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密封装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。

2、加密映射图的应用 IPSEC Over GRE：

a. 访问控制列表，针对两个网段的数据流，如： ip access-list extended vpn12

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 b. 加密图放在Tunnel口 GRE Over IPSEC：

a. 访问列表，针对两个路由器之间的GRE流，如：

ip access-list extended vpn12

permit gre host 172.16.11.2 host 172.16.22.2 b. 加密图作用在物理口。

无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE,则路由邻居都无法建立。 3、隧道模式和传输模式

所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了 GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。

IPSEC不支持组播，即不能传递路由协议，而GRE支持

无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE则，路由邻居都无法建立。

另一个概念是隧道模式和传输模式。所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。

IPSEC不支持组播，即不能传递路由协议，而GRE支持。

GRE OVER IPSEC : IP< IPSEC

外层ip就是公网的路由IP，GRE over IPSec，是将整个已经封装过的GRE数据包进行加密

由于IPSec不支持对多播和广播数据包的加密，这样的话，使用IPSec的隧道中，动态路由协议等依靠多播和广播的协议就不能进行正常通告，所以，这时候要配合GRE隧道，GRE隧道会将多播和广播数据包封装到单播包中，再经过IPSec加密。

此外由于GRE建立的是简单的，不进行加密的VPN隧道，他通过在物理链路中使用ip地址和路由穿越普通网络。所以很常见的方法就是使用IPSec对GRE进行加密，提供数据安全保证

关于GRE over IPsec及IPsec over GRE

2008-07-30 22:27:35 标签：VPN

GRE over IPsec & IPsec over GRE

IPSec -Over-GRE是先ipsec后gre，这种我没用过。

GRE -Over-IPSec 是先gre后ipsec，也就是说ipsec是最后的承载方式。一般常用的就是这种，解决了ipsec不支持多播的问题。

另外在mtu上也有一些相关，gre是先分段后封装，而ipsec则是先封装再分段。 个人理解。

IPsec over GRE 和GRE over IPsec在配置上的区别：

GRE over IPsec IPsec over GRE ACL定义： GRE数据流 内网数据流 IKE Peer中指定的remote-address 对方公网地

址 对方GRE Tunnel地址 应用端口： 公网出口 GRE Tunnel上

GRE over IPSEC(传输模式) IPSEC封装GRE

好处：可以利用GRE封装组播或广播了以及非IP流量，因为如果不使用GRE的话，IPSEC是传不了组播或广播IP流量的

IPSEC over GRE(里外)(tunel模式)

IPSEC over GRE:GRE在IPSEC外面,由GRE来封装IPSEC注意!!!IPSEC over GRE的时候,路由协议流量是明文的

注意!!!当指的peer是对等体物理接口地址的时候不是IPSEC over GRE,只有当peer是对等体的lookback是才是真正的IPSEC over GRE

源文档 <[url]http://www.netyourlife.net/forum/viewthread.php?tid=6766&highlight=ipsec+gre[/url]>

Cisco Tunnel Over IPSec例子

R1 (s1/0)----------------------------------------------S1/0(R2) 200.1.1.1 200.1.1.2

由于IPSEC隧道不能承载路由协议.所以对VPN的扩展性造成了很大的影响.

GRE能够封装路由协议,但是单纯的password不能解决在公网上面安全性的问题.所以如果把GRE和IPSEC完美的结合起来,不仅可以解决VPN 扩展性的问题,同时也能解决安全性的目的.一下的例子是完全按照小弟的一个案子模拟出来的.有什么不妥的地方希望大家指正批评. R1配置:

sh run

Building configuration... Current configuration : 1466 bytes !

version 12.2

service timestamps debug uptime service timestamps log uptime no service password-encryption !

hostname R1 ! !

ip subnet-zero ! !

no ip domain-lookup !

ip audit notify log ip audit po max-events 100 !

crypto isakmp policy 1 encr 3des

authentication pre-share group 2

crypto isakmp key cisco address 200.1.1.2 ! !

crypto ipsec transform-set cisco ah-sha-hmac esp-3des !

crypto map vpn local-address Serial1/0

crypto map vpn 10 ipsec-isakmp set peer 200.1.1.2 set transform-set cisco match address 100 !

call rsvp-sync ! ! ! ! ! ! !

!

interface Loopback0

ip address 192.168.1.1 255.255.255.0 !

interface Tunnel0

ip address 172.16.1.1 255.255.255.0 tunnel source Serial1/0 tunnel destination 200.1.1.2 crypto map vpn !

interface FastEthernet0/0 no ip address shutdown duplex auto speed auto !

interface Serial1/0

ip address 200.1.1.1 255.255.255.0 serial restart-delay 0 crypto map vpn !

interface Serial1/1

no ip address shutdown

serial restart-delay 0 !

interface Serial1/2 no ip address shutdown

serial restart-delay 0 !

interface Serial1/3 no ip address shutdown

serial restart-delay 0 !

router ospf 1 router-id 1.1.1.1 log-adjacency-changes

network 172.16.1.1 0.0.0.0 area 0 network 192.168.1.1 0.0.0.0 area 0 !

ip classless ip http server

access-list 100 permit gre host 200.1.1.1 host 200.1.1.2 非常重要

dial-peer cor custom ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

----------------------------------------------------------------------------------------------------------------------------------- R2的配置: sh run

Building configuration... Current configuration : 1466 bytes !

version 12.2

service timestamps debug uptime service timestamps log uptime

no service password-encryption !

hostname R2 !

ip subnet-zero !

no ip domain-lookup !

ip audit notify log ip audit po max-events 100 !

crypto isakmp policy 1 encr 3des

authentication pre-share group 2

crypto isakmp key cisco address 200.1.1.1 !

crypto ipsec transform-set cisco ah-sha-hmac esp-3des !

crypto map vpn local-address Serial1/0 crypto map vpn 10 ipsec-isakmp set peer 200.1.1.1

set transform-set cisco match address 100 !

call rsvp-sync !

interface Loopback0

ip address 192.168.2.1 255.255.255.0 !

interface Tunnel0

ip address 172.16.1.2 255.255.255.0 tunnel source Serial1/0 tunnel destination 200.1.1.1 crypto map vpn !

interface FastEthernet0/0 no ip address shutdown duplex auto speed auto !

interface Serial1/0

ip address 200.1.1.2 255.255.255.0

serial restart-delay 0 crypto map vpn !

interface Serial1/1 no ip address shutdown

serial restart-delay 0 !

interface Serial1/2 no ip address shutdown

serial restart-delay 0 !

interface Serial1/3 no ip address shutdown

serial restart-delay 0 !

router ospf 1 router-id 2.2.2.2 log-adjacency-changes

network 172.16.1.2 0.0.0.0 area 0

network 192.168.2.1 0.0.0.0 area 0 !

ip classless ip http server !

access-list 100 permit gre host 200.1.1.2 host 200.1.1.1 !

dial-peer cor custom ! ! ! ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! end

源文档 <[url]http://www.netyourlife.net/forum/viewthread.php?tid=5936&highlight=tunnel[/url]>

关于GRE Tunnel Over Ipsec VPN速度很慢的问题：

楼上说的不错，但是一阶段的group的资源浪费不是太明显，因为ISAKMP的SA超时时间是一天，一天内只要ipsec不断，一般来说，一阶段是不会重新协商的，但是如果2阶段设置PFS，那CPU就厉害了

源文档 <[url]http://www.netyourlife.net/forum/viewthread.php?tid=6942&highlight=ipsec+gre[/url]>

有个做法，在inter tun 0下敲tunnel mode ipsec ipv4------------这是IPSEC自己的tunnel,(不再需要GRE了)敲了后就不是GRE OVER IPSEC了，12.4开始有的，不知道你那26支持不

源文档 <[url]http://www.netyourlife.net/forum/viewthread.php?tid=6942&highlight=ipsec+gre[/url]>

上面的问题已解决了，原因是那些安全性的设置，导致不能访问应用程序。将这些 no ip redirects no ip unreachables no ip proxy-arp 删掉之后正常。

现在还有一个问题，我VPN通了之后，用户反映访问速度很慢，用show proc cpu 看到encrypt proc 占用CPU很高，当占用率达到50%左右的时候，Ping值就会很大，访问速度很慢。我尝试将IPSEC参数做了修改，现已改到： encry---des hash---md5 group----1 crypto ipsec trans esp-des

CPU就会下降一点。但当数据流大时，还是会占用很高的CPU。 IPSEC主模式SA建立详细过程总结 第一阶段

有主模式和积极模式2种

注意!!!只有remote vpn和Easy vpn是积极模式的,其他都是用主模式来协商的

让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKE SA后,所有后续的协商都将通过加密和完整性检查来保护

phase 1帮助在对等体之间创建了一条安全通道,使后面的phase 2过程协商受到安全保护 第二阶段 快速模式

协商IPSEC SA使用的安全参数,创建IPSEC SA,使用AH或ESP来加密IP数据流 详细过程主模式协商

IKE phase 1在IPSEC对等体间交换6条消息,这些消息的具体格式取决于使用的对等体认证方法 一,使用预共享密钥进行验证的主模式(6条) 协商过程使用ISAKMP消息格式来传递(UDP 500) 第一阶段 准备工作

在前2条消息发送以前,发送者和接受者必须先计算出各自的cookie(可以防重放和DOS攻击),这些cookie用于标识每个单独的协商交换消息

cookie---RFC建议将源目IP,源目端口,本地生成的随机数,日期和时间进行散列操作.cookie成为留在IKE协商中交换信息的唯一标识, 实际上cookie是用来防止DOS攻击的，它把和其他设备建立IPSEC所需要的连接信息不是以缓存的形式保存在路由器里，而是把这些信息HASH成个 cookie值 1&2消息

消息1---发送方向对等体发送一条包含一组或多组策略提议,在策略提议中包括5元组(加密算法,散列算法,DH,认证方法,IKE SA寿命)

消息2---接受方查看IKE策略消息,并尝试在本地寻找与之匹配的策略,找到后,则有一条消息去回应

注意!!!发起者会将它的所有策略发送给接受者,接受者则在自己的策略中寻找与之匹配的策略(对比顺序从优先级号小的到大的)（默认策略实际就是个模版没作用，如果认证只配置预共享的话，其他参数就会copy默认策略里的） 在1&2消息中报错可能出现的原因 1，peer路由不通

2，crypto iskmp key没有设置 3，一阶段的策略不匹配 3&4消息

这2条消息,用于交换DH的公开信息和随机数

两个对等体根据DH的公开信息都算出了双方相等的密植后,两个nonce连通预共享密钥生成第一个skeyID

随后便根据SKEY__ID来推算出其他几个skeyID skeyID_d---用来协商出后续IPSEC SA加密使用的密钥的

skeyID_a---为后续的IKE消息协商以及IPSEC SA协商进行完整性检查(HMAC中的密钥) skeyID_e---为后续的IKE消息协商以及IPSEC SA协商进行加密 5&6消息

这2条消息用于双方彼此验证,这个过程是受skeyID_e加密保护的

为了正确生成密钥,每一个对等体必须找到与对方相对应的预共享密钥,当有许多对等体连接时,每一对对等体两端都需要配置预共享密钥,每一对等体都必须使用ISAKMP分组的源IP来查找与其对等体对应的预共享密钥(此时由于ID还没到,彼此先用HASH来彼此验证对方) HASH认证成分－－－SKEYID_a,cookieA,cookieB，preshare_key,SA paload,转换集，策略 在5&6消息中报错可能出现的原因 1，crypto iskmp key设置错了 接受者处理过程

1,用skeyID_e对消息进行加密 2,用ID(源IP)查找出与共享密钥 3,skeyID_a和preshare-key等一堆东西一起来计算HASH 4,和收到的HASH做比较 第二阶段(3条)

phase 2的目标是协商IPSEC SA,而且只有一种模式,快速模式,快速模式的协商是受IKE SA保护的 1&2消息

消息1---发送方发送一条报文,其中包含HASH,IPSEC策略提议,NONCE和可选的DH,身份ID HASH:是用于给接受方作完整性检查的,用于再次认证对等体(必须)HASH的成分和5－6阶段一样

IPSEC策略提议:其中包括了安全协议,SPI,散列算法,隧道模式,IPSEC SA生命周期(必须) NONCE:用于防重放攻击,还被用作密码生成的材料,仅当启用PFS时用到 ID:描述IPSEC SA是为哪些地址,协议和端口建立的

PFS(利用DH交换,可选):用了PFS后就会在第二阶段重新DH出个数据加密KEY,这个KEY和以前IKE协商出来的KEY没有任何关系,然后由这个新KEY来加密数据，只有到这个IPSEC SA的生命周期后,会再次DH出新的KEY,这样,安全性就提高了（普通等ipec SA过期或密钥超时时，重新生成的数据加密密钥还是根据以阶段DH出来的skeyID_d衍生出来的）（PFS启用后，数据加密部分使用的密钥就没有了衍 生的过程）

DH:重新协商IPSEC SA实使用的密钥(正常情况下IPSEC阶段使用的密钥都是由skeyID_d衍生而来,密钥之间都有一定的关系,就算IPSEC SA超时,新的KEY还是和skeyID_d有一定的关系) 在1&2消息中报错可能出现的原因 1，ipsec trasport不匹配 2，感兴趣流不对称

IPSec/SSL 二合一安全网关，最佳的VPN解决方案！

2006-04-28 17:34:29 标签：vpn 安全 网关 方案

随着移动数据技术的进步和商务模式的发展，选择远程办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公，这个比例在未来的两年内将会上升到80%。而在中国，这种远程接入办公的趋势也同样越来越明显。

过去，大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan（网对网）的安全问题而制定的协议，因

此在此基础上建立的远程接入方案在面临越来越多的End To Lan（点对网）应用情况下已经力不从心。

首先是客户端配置问题：在每个远程接入的终端都需要安装相应的IPSec客户端，并且需要做复杂的配置，随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。

其次是IPSec VPN自身安全问题：往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径（深信服科技的IPSec VPN已经比较好的解决了这个问题）。如果仅仅在受控的电脑上，比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题，但如果要让合作伙伴或者客户的电脑接入，就难以控制了。

然后是对网络的支持问题：传统的IPSec VPN在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于IPSec VPN对防火墙的安全策略的配置较为复杂（往往要开放一些非常用端口），因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题：随着未来通讯技术的发展，移动终端的种类将会越来越多，IPSec 客户端需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。

因此，SSL VPN技术孕育而生。SSL VPN的突出优势在于Web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。

但SSL VPN并不能取代IPSec VPN。因为，这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSec VPN是在两个局域网之间通过Internet建立的安全连接，保护的是点对点之间的通信，并且，IPSec工作于网络层，不局限于Web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。

一、SINFOR SSL VPN安全网关简介

为了便于用户既能很好的解决网间互连，又能便捷的实现移动办公应用，深信服科技推出了IPSec/SSL一体化的VPN安全网关——SINFOR SSL VPN硬件网关。该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL 两套主流VPN技术的完美结合。目前该系列产品有四款产品：M5100-S、M5400-S、M5600-S、M5800-S。

1、IPSec VPN功能

SINFOR SSL VPN安全网关集成了IPSec VPN功能，具备有SINFOR IPSec VPN的全部功能和技术特点，并集成了企业级的状态防火墙，有效保证了企业内网安全。SINFOR SSL VPN安全网关的IPSec VPN功能采用了深信服科技VPN领域的四项发明专利，即：WebAgent动态IP寻址技术，HARDCA硬件认证，多线路绑定的VPN系统，即插即用、随身携带的VPN客户端。

SINFOR SSL VPN安全网关的IPSec VPN功能可以和深信服科技IPSec VPN产品：P5100、S5100、M5100、M5400、M5600、M5800等VPN硬件网关以及DLAN系列软件VPN产品实现互连互通，方便用户根据自身实际环境按需选择产品模块，构建量身定制的VPN网络。

2、SSL VPN功能

SINFOR SSL VPN安全网关使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制，因而广泛应用

于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。

SINFOR SSL VPN安全网关内置了CA认证，用户可自建CA中心，也可支持第三方CA认证。除了支持常规的Local DB，LDAP/AD，Radius，Secur ID等认证以外，SINFOR SSL VPN安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key认证相结合，结合客户端计算机安全检查功能，SINFOR SSL VPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户终端软件就可以安全访问公司的任何资源。

由于采用了IPTunel技术，SINFOR SSL VPN安全网关实现了对应用程序的完整支持。包括：文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言，由于SSL 的易用性，无需部署和维护客户端软件，极大降低了企业的管理和维护成本。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说，SINFOR SSL VPN提供了性价比极高的远程接入解决方案，降低了企业的总体拥有成本。

目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题，SINFOR SSL VPN安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术（专利之一），在企业的数据中心采用多条上网线路，当VPN客户端在访问总部资源时，SINFOR SSL VPN安全网关会自动检测最优线路，使得使用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高。SINFOR SSL VPN安全网关的多线路智能选路功能，不仅解决了跨运营商部署VPN网络时的延迟问题，还实现了企业上网线路的带宽叠加和负载均衡，有效扩大了网络的出口带宽，保证了企业VPN网络的稳定性。

为了避免因SSL 的易用性，客户端的不安全因素通过SSL VPN登陆到企业内部网络而导致的安全问题，SINFOR SSL VPN安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL VPN登陆到企业总部带来的安全隐患，保证远程接入的安全性。并且，SINFOR SSL VPN安全网关除了支持多种常规安全认证以外，还增加了基于手机短信的动态身份认证功能。

当前，间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。SINFOR SSL VPN安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。即使用户在登陆SSL VPN时所使用的计算机存在间谍软件、木马等泄密工具，由于无法获得用户每次登陆时通过其手机接受的短信认证码，因而有效防止口令泄漏，保证了用户使用SSL VPN访问总部资源时的安全性。

二、SINFOR SSL VPN功能介绍

作为新一代的远程接入解决方案，深信服科技推出的IPSec/SSL一体化的SINFOR SSL VPN有以下多种功能和技术特色：

3.1 IPSec/SSL 一体化

传统的IPSec VPN在部署时，往往需要在每个远程接入的终端都安装相应的IPSec客户端，并需要做复杂的配置（SINFOR IPSec VPN采用DKEY方式实现IPSec VPN零配置）。若企业的远程接入和移动办公数量增多，企业的维护成本将会成线性增加。而SSL VPN最大的好处之一就是不需要安装客户端程序，远程用户可以随时随地从任何浏览器上安全的接入到内部网络，安全地访问应用程序，无需安装或设定客户端软件，降低了企业的维护成本。因而，SSL在点对网互连方面，其易用性和安全性方面有着突出的优势。

然而，由于SSL VPN只适合点对网的连接，无法实现多个网络之间的安全互连。因而，在企业组建网对网方面，IPSec VPN就有着无可比拟的优势。而在

点对网方面，由于IPSec VPN要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置，因而在易用性和维护成本上远远不如SSL VPN。

SINFOR SSL VPN安全网关结合了IPSec和SSL 两套主流的VPN技术，实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补，避免了单一VPN设备存在的不足。对于企业或者事业单位的分支网络，可以使用IPSec VPN实现安全互连，而对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IPSec /SSL VPN给企业带来的效益，节约了企业大量的管理成本和投入成本。

3.2 多线路技术实现智能选路和负载均衡（专利之一）

目前，大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小，严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商，深信服科技在IPSec VPN 中，创新性地采用了多线路智能选路功能，并成功应用到SINFOR SSL VPN安全网关中。

所谓多线路智能选路技术，即是指在企业数据中心网络的网关位置部署SINFOR SSL VPN安全网关，并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时，SINFOR SSL VPN 网关会自动检测最优线路，使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高，解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。

若采用其他方案来解决类似问题，则用户往往需要单独购买一个线路负载均衡器，才能实现多线路负载均衡的效果。而SINFOR SSL VPN的多线路技术，不仅解决了跨运营商部署VPN网络时的延迟问题，还实现了多条线路的带宽叠加和负载均衡，用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。

SINFOR SSL VPN安全网关的多线路智能选路和负载均衡功能，减少了企业在IT部署的采购投入，降低了企业的总体拥有成本。

3.3 完整支持所有应用系统

目前对于大部分SSL VPN设备而言，所支持的应用类型是有限的，几乎仅限于支持Web等B/S的应用，而无法像IPSec VPN一样支持基于网络层以上的所有应用，因而也限制了SSL VPN的发展。

SINFOR SSL VPN安全网关通过html智能重构技术、应用转换技术和IPTunnel技术，实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持，包括：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。并且提供了Web资源、

由于采用了IPTunel技术，SINFOR SSL VPN安全网关实现了对应用程序的完整支持，客户端在打开浏览器的SSL VPN登陆界面时，只需安装一个Active X控件，在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡，因而SSL 远程登陆用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL VPN在总部网络采用路由模式的部署方式，总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用，使得SINFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。

3.4 客户端安全检查，保证接入安全

在用户通过计算机IE打开SSL 登陆界面时，SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，保证SINFOR SSL VPN接入安全，避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。

3.5 集成多种认证方式，内置CA中心

SINFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道，除了使用RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外，还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN（IPSec和SSL）系统，安全方便。

SINFOR SSL VPN安全网关内置了CA中心，企业或者事业单位可自建CA中心，用户可不必购买单独的CA认证体系，为企业减少了投入成本。同时，SINFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。

SINFOR SSL VPN安全网关内置有LDAP/AD、Radius、Secur ID、短信认证等多种安全认证方式，可以根据相应的安全级别，对客户端组合几种认证方式，最大限度地保证了接入用户的合法性。

当前，间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。深信服科技采用了基于手机短信的动态身份认证系统来消除该隐患，方便易用，保证了用户使用SSL VPN访问总部资源时的安全性。

3.6 提供细致的接入权限控制功能

SINFOR SSL VPN通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。

3.7 完善的用户和资源管理

SINFOR SSL VPN内置有多种用户和资源管理方式，可以自建用户，也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证，可以根据用户、用户组、公用帐号、私有帐号等多种方式对用户进行管理。管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式，为远程接入用户分配细致的访问权限控制。

同时，SINFOR SSL VPN集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式，保证了用户合理地使用VPN资源。并且，在SSL VPN网关中的直观式管理图形用户界面（GUI）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个VPN系统的运行状况。

3.8 支持动态IP、方便易用

由于宽带的普及以及ADSL资费的降低，国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。SINFOR SSL VPN集成了深信服科技独创的基于Web的动态IP寻址技术（专利技术），使的SINFOR SSL VPN网关在部署的时候无需固定IP，完全支持动态IP。并且，当企业在使用SINFOR SSL VPN网关的SSL VPN功能时，可以使用和IPSec VPN 相同的Webagent来解析网关的动态IP，减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时，也更加便捷。由于支持动态IP

VPN出现721错误的解决办法

局域网中的机器有的可以访问VPN服务器，有的不能，仔细检查，发现出问题的机器是打了SP2补丁。 解决办法如下

以下操作均在客户机上

1. 单击“开始”，然后单击“运行”。

2. 在“打开”框中，键入 regedit，然后单击“确定”。 3. 在注册表编辑器中，找到以下子项

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002bE10318}\\<000x>

其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。 4. 在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。

5. 键入 ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。 6. 退出注册表编辑器。 7. 重新启动计算机。

打造史上最强ipsec vpn实例教程

以下为路由器A的配置，路由器B只需对相应配置做更改即可 1：配置IKE

router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进

行身份验证

router(config-isakmp)# encryption des #使用des加密方式

router(config-isakmp)# group 1 #指定密钥位数，group 2安全性更高，

但更耗cpu

router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式：sha，rsa)

router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400

秒，两端要一致

以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2：配置Keys

router(config)# crypto isakmp key cisco1122 address 10.0.0.2

--(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址) 3：配置IPSEC

router(config)# crypto ipsec transform-set abc esp-des esp-md5-hmac

配置IPSec交换集

abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。 router(config)# crypto ipsec security-association lifetime 86400

ipsec安全关联存活期，也可不配置，在下面的map里指定即router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 4.配置IPSEC加密映射

router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图

router(config-crypto-map)# match address 110 用ACL来定义加密的通信 router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP地址router(config-crypto-map)# set transform-set abc 指定加密图使用的 IPSEC交换集

router(config-crypto-map)# set security-association lifetime 86400 router(config-crypto-map)# set pfs group 1

5.应用加密图到接口

router(config)# interface ethernet0/1 router(config-if)# crypto map mamap 相关知识点：

对称加密或私有密钥加密：加密解密使用相同的私钥 DES--数据加密标准 data encryption standard

3DES--3倍数据加密标准 triple data encryption standard AES--高级加密标准 advanced encryption standard 一些技术提供验证：

MAC--消息验证码 message authentication code

HMAC--散列消息验证码 hash-based message authentication code MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据，因为非对称加密站用大量cpu资源 非对称或公共密钥加密： RSA rivest-shamir-adelman

用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密

两个散列常用算法：

HMAC-MD5 使用128位的共享私有密钥

本文来源：https://www.bwwdw.com/article/wo87.html