南瑞加密隧道協商過程

㈠ 常見的南瑞、科東、衛士通縱向加密都支持NAT地址轉換功能

在這些是常見的南瑞，科東，在有些加密的是許可，轉換地址的全力，要有與你密切的關系，寸有時候才權歷支持，這必須要的。

㈡ 加密機隧道加密了能ping通,加密成功了嗎

實現點對點加密的信息技術設備，參見?wtp=tt補充一點：根據加密協議的層次（OSI模型），可以分為鏈路加密機、網路加密機（IP層）、應用層加密機。詳細的內容可以寫一本書。

㈢ IPSec的兩種運行模式是什麼

隧道模式(Tunneling Mode)和傳送模式(Transport Mode)

隧道模式可以在兩個Security Gateway間建立一個安全"隧道"，經由這兩個Gateway Proxy的傳送均在這個隧道中進行。隧道模式下的IPSec報文要進行分段和重組操作，並且可能要再經過多個安全網關才能到達安全網關後面的目的主機。
隧道模式下，除了源主機和目的地主機之外，特殊的網關也將執行密碼操作。在這種模式里，許多隧道在網關之間是以系列的形式生成的，從而可以實現網關對網關安全。
+————————————————————+
| 新IP頭 | IPsec頭 | IP頭 | TCP頭 | 數據 |
+————————————————————+

傳送模式加密的部份較少，沒有額外的IP報頭，工作效率相對更好，但安全性相對於隧道模式會有所降低。
傳送模式下，源主機和目的地主機必須直接執行所有密碼操作。加密數據是通過使用L2TP（第二層隧道協議）而生成的單一隧道來發送的。數據（密碼文件）則是由源主機生成並由目的地主機檢索的。
+————————————————+
| IP頭 | IPsec頭 | TCP頭 | 數據 |
+————————————————+

㈣ 瑞友天翼 建立加密連隧道失敗,請檢查網路連接是否正常,或者伺服器協議埠是否正常請問是什麼問題

埠不通，到伺服器的路由器上做埠映射或者是殺毒軟體防火牆阻止了這個埠，停掉再登陸。具體操作是：在開始菜單—所有程序—瑞友天翼—工具—服務管理工具，查看所有服務是否啟動正常；如果都正常，重啟埠即可。

一、 伺服器本機或者是內外訪問時，提示「建立加密隧道失敗，請檢查協議埠是否正常」。

操作方法：開始運行cmd，輸入telnet <天翼伺服器地址> 5872。

1、如果埠沒打開，或映射不正常則提示；

2、如果埠正常則提示為全黑屏。

開始—程序—管理工具—終端服務配置—rap—tcp協議右鍵—所有任務—禁用連接後重新啟用（如果此方法可恢復，安裝rap守護補丁）。禁用時若提示「內部錯誤」，則檢查系統終端服務。

3、檢查終端服務terminal services啟動是否正常，.如啟動此服務沒有啟動，則手工啟動此服務即可。

二、如果是內網地址訪問正常，外網訪問報錯提示「建立加密隧道失敗，請檢查協議埠是否正常」。

1、檢查天翼集群屬性裡面的地址轉換：默認情況下源埠和目標埠必須保持一致，並且源地址必須是安裝瑞友時所選擇的IP地址。

2、檢查路由器中的埠映射：

a.路由器中檢查5872埠是否映射。

b.路由中映射的伺服器IP地址，必須和伺服器本機一致。

c.伺服器的內網IP地址一定要是固定的不能動態獲取，因為路由器中映射的IP是固定的。

㈤ 名詞解釋：OSPF. CIDR IPng 隧道技術

隧道技術及其應用

隧道技術（Tunneling）是一種通過使用互聯網路的基礎設施在網路之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然後通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。
這里所說的隧道類似於點到點的連接。這種方式能夠使來自許多信息源的網路業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接，通過路由網路來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網路。
通過隧道的建立，可實現：
* 將數據流強制送到特定的地址
* 隱藏私有的網路地址
* 在IP網上傳遞非IP數據包
* 提供數據安全支持
近來出現了一些新的隧道技術，並在不同的系統中得到運用和拓展。

隧道技術

為創建隧道，隧道的客戶機和伺服器雙方必須使用相同的隧道協議。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應於OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬於第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應於OSI模型的網路層，使用包作為數據交換單位。IPIP（IP over IP）以及IPSec隧道模式屬於第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網路傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在於，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

點對點隧道協議
PPTP（Point to Point Tunneling Protocol）提供PPTP客戶機和PPTP伺服器之間的加密通信。PPTP客戶機是指運行了該協議的PC機，如啟動該協議的Windows95/98；PPTP伺服器是指運行該協議的伺服器，如啟動該協議的WindowsNT伺服器。PPTP是PPP協議的一種擴展。它提供了一種在互聯網上建立多協議的安全虛擬專用網（VPN）的通信方式。遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網。
通過PPTP，客戶可採用撥號方式接入公用IP網。撥號用戶首先按常規方式撥到ISP的接入伺服器（NAS），建立PPP連接；在此基礎上，用戶進行二次撥號建立到PPTP伺服器的連接，該連接稱為PPTP隧道，實質上是基於IP協議的另一個PPP連接，其中的IP包可以封裝多種協議數據，包括TCP／IP、IPX和NetBEUI。PPTP採用了基於RSA公司RC4的數據加密方法，保證了虛擬連接通道的安全。對於直接連到互聯網的用戶則不需要PPP的撥號連接，可以直接與PPTP伺服器建立虛擬通道。PPTP把建立隧道的主動權交給了用戶，但用戶需要在其PC機上配置PPTP，這樣做既增加了用戶的工作量，又會給網路帶來隱患。另外，PPTP只支持IP作為傳輸協議。

第二層轉發協議
L2F(Layer Two Forwarding protocol )是由Cisco公司提出的可以在多種介質，如ATM、幀中繼、IP網上建立多協議的安全虛擬專用網的通信。遠端用戶能通過任何撥號方式接入公用IP網，首先按常規方式撥到ISP的接入伺服器（NAS），建立PPP連接；NAS根據用戶名等信息，建立直達HGW伺服器的第二重連接。在這種情況下，隧道的配置和建立對用戶是完全透明的。其體系結構見圖1。

第二層隧道協議
L2TP（Layer Two Tunneling Protocol）結合了L2F和PPTP的優點，允許用戶從客戶端或訪問伺服器端建立VPN連接。L2TP是把鏈路層的PPP幀裝入公用網路設施，如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。其體系結構見圖1。
Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本後，終於在1999年8月公布了L2TP的標准RFC2661。目前用戶撥號訪問Internet時，必須使用IP協議，並且其動態得到的IP地址也是合法的。L2TP的好處在於支持多種協議，用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP則允許在物理上連接到不同NAS的PPP鏈路，在邏輯上的終點為同一個物理設備。L2TP擴展了PPP連接，在傳統的方式中用戶通過模擬電話線或ISDN/ADSL與網路訪問伺服器建立一個第2層的連接，並在其上運行PPP，第2層連接的終點和PPP會話的終點均設在同一個設備上(如NAS)。L2TP作為PPP的擴充提供了更強大的功能，包括允許第2層連接的終點和PPP會話的終點分別設在不同的設備上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)構成。LAC支持客戶端的L2TP，發起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，而L2TP能把PPP協議的終點延伸到LNS。
L2TP的建立過程如圖2。
1.用戶通過公用電話網或ISDN撥號呼叫本地接入伺服器LAC；LAC接受呼叫並進行基本的識別過程，這一過程可以採用幾種標准，如域名、呼叫線路識別(CLID)或撥號ID業務(DNIS)等。
2.當用戶被確認為合法企業用戶時，就建立一個通向LNS的撥號VPN隧道。
3.企業內部的安全伺服器如TACACS+、RADIUS對撥號用戶進行驗證。
4.LNS與遠程用戶交換PPP信息，分配IP地址。LNS可採用企業專用地址(未注冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網路在PPP信息包內傳送，企業專用地址對提供者的網路是透明的。
5.端到端的數據從撥號用戶傳到LNS。
在實際應用中，LAC將撥號用戶的PPP幀封裝後，傳送到LNS，後者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最後獲得網路層數據包。
L2TP方式給服務提供商和用戶帶來了許多方便。用戶不需要在PC板上安裝專門的客戶端軟體，企業網可以使用未注冊的IP地址，並在本地管理認證資料庫，從而降低了應用成本和培訓維護費用。
與PPTP和L2F相比，L2TP的優點在於提供了差錯和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向無連接的UDP無法保證網路數據的可靠傳輸，L2TP使用Nr（下一個希望接受的信息序列號）和Ns（當前發送的數據包序列號）欄位進行流量和差錯控制。雙方通過序列號來確定數據包的順序和緩沖區，一旦丟失數據，根據序列號可以進行重發。
作為PPP的擴展協議，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機鑰匙，以便對付欺騙性的攻擊，但是它對傳輸中的數據並不加密。

通用路由封裝
通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規定了怎樣用一種網路層協議去封裝另一種網路層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，並支持全部的路由協議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網路連接IPX網路和AppleTalk網路，還可以使用保留地址進行網路互聯，或對公網隱藏企業網的IP地址。
GRE的包頭包含了協議類型（用於標明乘客協議的類型）；校驗和包括了GRE的包頭和完整的乘客協議與數據；密鑰（用於接收端驗證接收的數據）；序列號（用於接收端數據包的排序和差錯控制）和路由信息（用於本數據包的路由）。
GRE只提供了數據包的封裝，它沒有防止網路偵聽和攻擊的加密功能。所以在實際環境中它常和IPsec一起使用，由IPsec為用戶數據的加密，給用戶提供更好的安全服務。

IP安全協議
IP安全協議（IPSec：IP Security）實際上是一套協議包而不是一個獨立的協議，這一點對於我們認識IPSec是很重要的。從1995年開始IPSec的研究以來，IETF IPSec工作組在它的主頁上發布了幾十個Internet草案文獻和12個RFC文件。其中，比較重要的有RFC2409 IKE（互連網密鑰交換）、RFC2401 IPSec協議、RFC2402 AH驗證包頭、RFC2406 ESP加密數據等文件。
IPSec安全體系包括3個基本協議：AH協議為IP包提供信息源驗證和完整性保證；ESP協議提供加密機制；密鑰管理協議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件，規定了加密和認證的演算法。最後，解釋域（DOI）通過一系列命令、演算法、屬性和參數連接所有的IPSec組文件。

隧道技術應用

虛擬專用網路
VPN是Internet技術迅速發展的產物，其簡單的定義是，在公用數據網上建立屬於自己的專用數據網。也就是說不再使用長途專線建立專用數據網，而是充分利用完善的公用數據網建立自己的專用網。它的優點是，既可連到公網所能達到的任何地點，享受其保密性、安全性和可管理性，又降低網路的使用成本。
VPN依靠Internet服務提供商（ISP）和其他的網路服務提供商（NSP）在公用網中建立自己的專用「隧道」，不同的信息來源，可分別使用不同的「隧道」進行傳輸。
新出台的標准ISE CHEIP6版保證用戶數據的安全加密。由於用戶對企業網傳輸個人數據很敏感，因此集成度更高的VPN技術不久將會流行起來。

Linux 中的IP隧道
為了在TCP/IP網路中傳輸其他協議的數據包，Linux採用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協議數據包上再套上一個IP協議帽來實現。
利用IP隧道傳送的協議包也包括IP數據包，Linux的IPIP包封指的就是這種情況。移動IP（Mobile-IP）和IP多點廣播（IP-Multicast）是兩個流行的例子。目前，IP隧道技術在VPN中也顯示出極大的魅力。
移動IP是在全球Internet上提供移動功能的一種服務，它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制，使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同，移動IP還要解決安全性和可靠性問題，並與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。

GPRS隧道協議
隨著隧道技術的發展，各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS（General Packet Radio Service）中的隧道協議GTP（GPRS Tunnel Protocol）就是一例。
GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務，可以應用在PLMN（Public Land Mobile Network）內部或應用在GPRS網與外部互聯分組數據網（IP、X.25）之間的分組數據傳送，GPRS能提供到現有數據業務的無縫連接。它在GSM網路中增加了兩個節點：服務GPRS支持節點（SGSN—serving GPRS support node）和網關GPRS支持節點（GGSN—Gateway GPRS support node）。
SGSN是GPRS骨幹網與無線接入網之間的介面，它將分組交換到正確的基站子系統（BSS）。其任務包括提供對移動台的加密、認證、會話（session）管理、移動性管理和邏輯鏈路管理。它也提供到HLR等資料庫的連接。
通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協議需求，利用TCP或UDP協議來分別提供可靠的連接（如支持X.25的分組傳輸）和無連接服務（如IP分組）。