ipsec

来源： oschina 链接： https://my.oschina.net/u/4303890/blog/4455321

***连接模式 两种。 传输模式 优点：没有添加新的IP报头，封装简单，传输效率高 缺点：报头没有被保护 应用： 在内网中部署*** 在DM***部署 隧道模式： IP报头被保护， 传输模式运用在局域网之中 隧道模式运用在LAN之中 隧道模式用在跨公网之中 传输模式的协议少了一层隧道，少了添加***网关IP这个子层，而隧道模式在协议栈中有这一层， 加密子层只对packet报的data字段加密。不对包头加密。否则数据在传输过程中，会因IP地址被加密而无法寻址，隧道模式中，不存在这个问题，因为公网传输中的***网关IP。 ***加密算法 ·对称加密算法：公钥加密，公钥解密 优点：加密效率高 缺点：安全性较低 两者相斥 ·非对称加密算法：公钥加密，私钥解密 ·密钥交换 数据报文验证 HMAC MD5和SHA IPsec ***建立的两个阶段 阶段一：IKE ISAKMP 主模式： site-to-site *** 积极模式：remote access 通过网络流量，建立管理连接：建立一个安全的***通道，传输用户身份的信息 为了保证用户的可靠性，验证用户的身份信息。 阶段二：ESP或者AH 建立数据连接，保证数据传输的安全性。 数据的加密算法，认证算法，传输模式 ACL匹配感兴趣的参数 MAP关联前面的 IP SEC 依赖安全互联，主要存在下列两个组件： 1 身份验证头

简介 Voice over Wi-Fi (VoWiFi)顾名思义即通过WiFi网络提供的语音业务。用户可以在没有移动信号的条件下拨打电话，VoWiFi是Voice over LTE (VoLTE)的互补技术。 根据3GPP的定义以及采用的不同移动性管理协议，VoWiFi的组网方式有三种主要方案：信任域EPC（Evolved Packet Core，演进的分组核心网）接入方案、非信任域EPC接入方案、直连IMS接入方案。非信任域接入是目前的主流。 （1）信任域EPC接入方案： 运营商或者合作方的Wi-Fi热点等信任域接入设备，通过S2a接口直接和EPC中PGW（Packet Data Network GW，分组数据网关）互通，也称为S2a接口组网方案。需要对现有WLAN（Wireless LAN，无线接入点）设备进行增强改造，使之支持移动性要求。 （2）非信任域EPC接入方案： 所有Wi-Fi热点等非信任域设备均可以接入，通过ePDG（Evolevd Packet Data Gateway，演进型分组数据网关）接入PGW，实现和EPC的互通。由于非受信域接入网络和EPC互通采用S2b接口，因此这种组网也称为S2b接口组网方案。这种方案对WLAN没有改造要求，安全性高，支持无缝切换，解决了语音、数据业务的连续性问题。 （3）直连IMS接入方案：

随着企业规模的扩展，企业和IT运维团队面临着诸多挑战： 1.需要不断增加带宽基于MPLS的网络以保证应用的性能 2.高度复杂的分公司部署 3.需要把传统的广域网的静态和私密的特性移植到动态的和公共的云环境中 因此，在SDN技术的兴起以及企业对商业扩展速度和运维管理高要求的背景之下，SD-WAN作为SDN的衍生品应运而生。 SD-WAN介绍 SD-WAN，即软件定义网络，是将SDN技术应用到广域网场景中的一种服务，以方便用户连接企业网络，数据中心，互联网应用及云服务。 SD-WAN有如下四大特点，契合解决传统WAN挑战的关键能力： 1.支持混合链路接入du(MPLS, Internet, LTE等) 2.支持动态链路调整，保障关键应用体验 3.支持***以及其他增值业务服务(如WOC,FW等) 4.企业WAN管理简单 这就意味着在企业上云过程中除了传统的运营商专线，SD-WAN也成为了不错的选择，既满足快速扩展的需要，又满足了企业节省成本的要求。本文主要介绍SD-WAN网络如何与AWS云进行对接。 如何通过SD-WAN与AWS对接 企业通过SD-WAN对接AWS云服务的简要拓扑如下： 位于城市A的数据中心的CPE设备通过 IPSec SVTI 连接至SD-WAN提供商在该城市的 POP 点（冗余配置，两条 IPSec 隧道连接）；AWS侧使用 DVTI 隧道通过 *** 连接至SD

我们都知道，对于企业来讲，随着业务的发展和重点不同，对网络的实际需求也是不同的，尤其是对于公有云的网络架构，随着AWS的功能完善和发展，越来越多的网络功能得以实现。本文将结合实际案例讲述如何以及为什么从DX过渡到DX gateway的 DX时期的网络方案 企业上云绝非一蹴而就的事情，这就意味着必然存在着一个本地云与公有云共同存在的时期，这就涉及到了本地IDC与云上IDC的互通问题。因我们启用业务上云的方案较早，当时的 AWS还仅有DX的功能，通过此功能我们可以使用AWS合作伙伴专线将本地IDC与AWS连接起来。具体网络架构如下： DX的出现，使得企业可以通过DX的private VIF或者 public VIF将企业的分支/本地IDC与AWS连接起来。而为了实现高可用性，一般不会仅建立一个DX通道，可能会采用如下冗余方案： 两条不同ISP的专线通过不同DX location或者DX 设备连接到AWS的方案 一条ISP专线，一根Internet+IPsec ***的方案 一条ISP专线，一根SD-WAN线路的方案 两根***线路的方案，（可以是Internet+IPsec ***与SD-WAN的组合）等等 而因为对线路的时延可靠性等要求，我们当时选择了第一种方案，如下所示。 DX双专线接入时，双活的实现 因AWS DX功能比较弱，无法通过AWS侧设备实现路由的选路

　　电梯远程监测管理意义 　　如今电梯应用于各大商场办公楼等人员众多公共场所，但是大部分电梯的维护却普遍是人工定期巡检，对于突发情况和电梯运行状态无法及时获取信息，可能会造成各种安全隐患。同时人工巡检这种做法耗时耗力，稳定性也得不到保障。因此，5g工业路由器下电梯远程监测管理意义重大。 电梯运行实时监控系统，可用于楼宇智能化改造项目、电梯监控智能化项目、小区、学校、医院、商厦等物业、维保集中监控。 　　5g工业路由器下的电梯远程监测管理系统功能 　　1、电梯运行实时监控系统对于日常的电梯打不开门、突然下滑、超速运行、突然上升、卡在楼层中间(卡层)、长时间关人(困人)、冲顶、蹲底等故障能够进行语音报警、微信报警，保障电梯出现故障后能够快速进行救援。 　　2、为充分保障电梯设备的检测精度，保障工作人员安全，提升检测效率，建设基于计讯物联5g工业路由器组建的电梯设备远程监测系统，实现对电梯运行状态监测实时化、远程化、可视化。 　　3、实现目标地点监控的集中管理，对于出入电梯的人员进行查看，或保留录像以备日后查阅一旦电梯发生故障，方便维修人员知道电梯所在楼层，从而及时处理;若有案件发生，也可方便查阅电梯内人员在各层出入情况，有利于案件侦破。 4、设备制造厂商、物业管理部门、管理人员在统一的平台中协同工作，为电梯安全运行保驾护航。 电梯远程监测管理系统组成 　　感知层

5G究竟有多快？ 看高清视频随便拖进度条 玩大型手游不卡顿 下载各种应用零等待 …… 这些都不足以形容5G的速度！ 它 应该跟拓海在秋名山下坡比赛中的车速一样快 应 该跟李寻欢与上官 金虹决斗时发出的飞刀一样快 应该跟斧头帮来的时候包租婆跑的一样快 尽管5G可以让云游戏、AR/VR等的体验更好 但对于个人消费者而言，4G已经基本够用 5G不属于刚需，而是改善 相比较2C市场，2B行业应用才是5G最大的机会！ 5G这块市场蛋糕究竟有多大？ 中国信息通信研究院曾经给出预测，按照2020年5G正式商用算起，预计2020-2025年间，中国5G发展将直接带动经济总产出10.6万亿元。 尤其在新基建浪潮的号角吹响后，以5G为代表的信息通信基础设施更是一马当先，在行业数字化转型中扮演起信息高速公路的角色。 5G将深入到各行各业，制造、交通、医疗、能源等行业的创新天花板将被打破，场景化解决方案的涌现，将成为行业数字化转型的加速器。 5G凭借其高速率、大容量、低延时等特性，可以重新定义许多应用场景，对于各行各业的企业来说，这无疑是一个重塑联接的好机会。 在智慧港口、智慧矿山建设过程中，5G应用的落地正在给企业的广域互联网络带来全新的变化，进而加速这些企业的数字化转型。 在某集装箱码头，5G、云计算、物联网及人工智能等先进技术的应用，实现了码头的自动化。在全场设备改造后，可 节省每年千万级的人力成本

1 确保IPsec Policy Agent服务已启动 2 确保 路由和远程访问（Routing and Remote Access）和 远程访问连接管理器服务（Remote Access Connection Manager）启动 3 注册表添加 ProhibitIpSec 注册表项 注册表路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 创建ProhibitIpSec注册表项，选择DWORD类型并将其设置为 1 的值 4 注册表添加 AllowL2TPWeakCrypto 注册表项 注册表路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 创建 AllowL2TPWeakCrypto 注册表项，选择DWORD类型并将其设置为 1 的值 5 重启计算机 来源： oschina 链接： https://my.oschina.net/u/4319747/blog/4358012

服务器安全问题，一直是大多数站长很关心却完全不知道该如何解决的。要不就是完全不设防的状态存着侥幸心理在“裸奔”，要不就是花钱让别人帮忙维护，还要确保找的人足够可靠。其实系统本身带有大量的安全工具和安全机制，只要合理的设置并利用他们，就可以防御大部分基础的攻击。比如selinux、snort和honeynet。 统一集中化管理工具 大多数互联网公司来说，服务器的数量相对较大，很多单机的工具就不太合适。这时候可以使用统一集中化的管理工具，有效的简化多台服务器的系统管理工作。Windows下可以用域，linux下可以用ldap，或者像Puppet、Func之类的工具。类似于木马一样，每一台服务器都装一个agent。 最小权限访问控制策略 比如网络访问控制，Windows可以使用IPSec、linux可以使用IPTABLES。针对游戏服务器，那么除了游戏端口，什么都不要让普通用户访问。而web应用就只开放80/443。文件权限控制，不要什么都777，对应在WIndows平台下，不要什么都是Everyone完全控制。 补丁与反病毒 这是大家都比较信赖的方案，但补丁防不住0day漏洞，杀毒软件也可以用免杀绕过（虽然在HIPS的围剿中正越来越难）。补丁和反病毒软件是一个基础必备却并不能依赖的方案。Windows下可以用WSUS进行补丁的部署，Linux下需要通过统一集中化管理工具来推送。

搭建SSH/IPSec/SSL隧道实验 1.ssh隧道搭建（EC1和EC2之间建立ssh隧道） ssh隧道搭建比较方便，可以通过一条命令就能解决 命令: ssh -D bindPort usr@public_ip 搭建过程： 2.IPsec隧道搭建（EC1和EC2之间建立IPSec隧道） 2. 来源： oschina 链接： https://my.oschina.net/u/4342388/blog/4463595