routeros培训讲义v3.ppt

应用事例五：服务器发布 应用事例六：带宽控制 简单带宽控制(Simple queue) 必须针对单个IP地址进行控制 简单带宽控制的不足之处 Target address Or Dst-address ? 应用事例七：PPTP VPN PPTP VPN是基于服务器/客户端的模式； 一般要求：PPTP VPN服务器端应具备静态公网IP地址；当然也可采用动态IP，不推荐； PPTP VPN客户端无特别要求； 要实现PPTP VPN，在PPTP 服务器端必须开启PPTP Server，同时还要求允许外部访问TCP 1723端口和gre协议 服务器端配置步骤： 1、开启pptp server； 2、在ip service port中开启开pptp和gre服务 3、在firewall filter中开启tcp 1723和gre协议 4、添加pptp server interface,确定username； 5、在secrets中添加username和password, 6、指定Local address和Remote address,选择pptp服务； 客户端配置步骤： 1、在ip service port中开启开pptp和gre服务 2、在firewall filter中开启tcp 1723和gre协议 3、添加pptp client interface； 4、填入PPTP Server的服务器地址； 5、输入PPTP Server上分配的username和password； 6、指定Local address和Remote address,选择pptp服务; 路由与防火墙策略添加： 1、更改src-nat方式，选择out interface网卡为外网网卡；保证双方网络之间访问通过路由； 2、在服务器、客户端双方加入路由信息； 3、在服务器、客户端双方添加防火墙策略允许服务器、客户端之间的网段能相互访问； 应用事例八：IPsec VPN 由于IPsec VPN涉及的协议较多，理解较复杂，但是IPsec VPN又是分公司必备的网络条件。因此，如果暂不能理解，可采用直接套用的方式，记住相关参数及配置方法； 老张 老王 老李 小张 小王 小李 老张、老李之间信任问题？——接头暗号——共享密钥 信内容的必威体育官网网址？——采用密文——加密与密钥协商 信不被篡改？——加入校验信字数——完整性算法 保证给小李的信交给老李而不是老王？——选择正确的隧道？小张 小李：老张 老李 应用事例八：IPsec VPN 应用事例八：IPsec VPN 一、IPsec简介 IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。 IPSec 协议的运行模式：隧道模式、传输模式。 隧道模式的特点是数据包最终目的地不是安全终点。通常情况下，只要IPSec双方有一方是安全网关或路由器，就必须使用隧道模式。［IPSec VPN］ 传输模式下，IPSec 主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。 IPsec体系结构包括: 1、安全协议 A）认证头协议（Authentication Header，简称为AH）不提供必威体育官网网址性服务 B）封装安全负载协议（EncapsulatingSecurity Payload，简称为ESP） 2、密钥协商 密钥管理协议（Internet Key Exchange，简称为IKE） 3、安全关联和安全策略 安全关联(Security Association，SA )是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定，它们决定了用来保护数据包安全的安全协议 、密钥及密钥的有效存在时间等 。 SA协商的两个阶段： 第一阶段SA 为建立信道而进行的安全联盟。 这一阶段双方协商：认证方法（Share Key）、加密算法、hash算法、DH组等信息 第二阶段SA（快速SA） 为数据传输而建立的安全联盟 。 这一阶段双方协商：采用哪种IPsec协议（AH、ESP）、是否要求加密、是否要求hash等信息 应用事例八：IPsec VPN RouterOS与RouterOS之间建立IPSec VPN ROS1： [admin@ROS1] ip ipsec policy add sa-src-address= sa-dst-address= \ \... action=encrypt [admin@Router1] ip ipsec peer add address= \ \... secret=gvejimezyfopme