很多地方看见对SVTI的说明是greoveripsec,因为这个东西都加密了,看不见内容,也说不了什么。偶然看见思科社区http://www.cisco-club.com.cn/space-113351-do-blog-id-8866.html关于juniperSRX和思科对联SVTI,具体看了一下juniper配置,完全是ipsec的接口模式,没有gre参与,想来是一些人看见配置是tunnel就以为还是gre的东西,能喝SRX对接成功的肯定使用的是相同的技术,不会用gre。想验证一下,但是加密内容不可视,想来想去,可以看包大小是否一致,就能看出是不是一样。试验,在R1上配SVTI,R2上配传统的cryptomap,R4两个都配。R1cryptoisakmppolicy10
authenticationpre-share
cryptoisakmpkeyciscoaddress40.1.1.2
!
!
cryptoipsectransform-setESP-des-md5esp-desesp-md5-hmac
!
cryptoipsecprofileipsec-profile
settransform-setESP-des-md5
!
!
!
!
!
interfaceLoopback0
ipaddress1.1.1.1255.255.255.255
!
interfaceTunnel0
ipaddress172.16.1.1255.255.255.0
tunnelsource61.1.1.1
tunneldestination40.1.1.2
tunnelmodeipsecipv4
tunnelprotectionipsecprofileipsec-profile
!
interfaceFastEthernet0/0
ipaddress61.1.1.1255.255.255.0
duplexauto
speedauto
!
noiphttpserver
noiphttpsecure-server
iproute0.0.0.00.0.0.061.1.1.3
iproute1.1.1.4255.255.255.255Tunnel0R2cryptoisakmppolicy10
authenticationpre-share
cryptoisakmpkeyciscoaddress40.1.1.2
!
!
cryptoipsectransform-setESP-des-md5esp-desesp-md5-hmac
!
cryptomapmm10ipsec-isakmp
setpeer40.1.1.2
settransform-setESP-des-md5
matchaddress100
!
!
!
!
interfaceLoopback0
ipaddress1.1.1.2255.255.255.255
!
interfaceFastEthernet0/0
ipaddress61.1.1.2255.255.255.0
duplexauto
speedauto
cryptomapmm
!
noiphttpserver
noiphttpsecure-server
iproute0.0.0.00.0.0.061.1.1.3
!
!
!
access-list100permitiphost1.1.1.2host1.1.1.4R4cryptoisakmppolicy10
authenticationpre-share
cryptoisakmpkeyciscoaddress61.1.1.1
cryptoisakmpkeyciscoaddress61.1.1.2
!
!
cryptoipsectransform-setESP-des-md5esp-desesp-md5-hmac
!
cryptoipsecprofileipsec-profile
settransform-setESP-des-md5
!
!
cryptomapmm10ipsec-isakmp
setpeer61.1.1.2
settransform-setESP-des-md5
matchaddress100
!
!
!
!
interfaceLoopback0
ipaddress1.1.1.4255.255.255.255
!
interfaceTunnel0
ipaddress172.16.1.4255.255.255.0
tunnelsource40.1.1.2
tunneldestination61.1.1.1
tunnelmodeipsecipv4
tunnelprotectionipsecprofileipsec-profile
!
interfaceFastEthernet0/0
ipadd免费云主机域名ress40.1.1.2255.255.255.0
duplexauto
speedauto
cryptomapmm
!
noiphttpserver
noiphttpsecure-server
iproute0.0.0.00.0.0.040.1.1.1
iproute1.1.1.1255.255.255.255Tunnel0
!
!
!
access-list100permitiphost1.1.1.4host1.1.1.2从R1和R2分别pingR4,通过抓包,比较ESP包大小,完全一样,其后又用telnet试验,发现包的大小仍然一致,SVTI的包和原来的IPsec没有不同,不是所谓的greoveripsec。参看思科网站http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_***ips/configuration/15-s/sec-ipsec-virt-tunnl.htmlSVTIconfigurationscanbeusedforsite-to-siteconnectivityinwhichatunnelprovidesalways-onaccessbetweentwosites.TheadvantageofusingSVTIsasopposedtocryptomapconfigurationsisthatuserscanenabledynamicroutingprotocolsonthetunnelinterfacewithouttheextra24bytesrequiredforGREheaders,thusreducingthebandwidthforsendingencrypteddata.人家没说过封装gre,只是进行对比,可以过动态路由并且没有gre的24字节的包头。下面的图是抓包内容。这个是原始ipsec站点的ping包封装成ESP这个是SVTI的,和上面的比,size都是166这个是greoveripsec的,size大了24,和思科网站上说非常吻合。这个是一般的icmp包,ipsec之后增加52字节。可见加密还是很消耗有效载荷的。
本文小编为大家详细介绍“linux如何查看是否安装了ftp”,内容详细,步骤清晰,细节处理妥当,希望这篇“linux如何查看是否安装了ftp”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。免费云主机域名 linux查看是否安装ftp的…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
