NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Для запуска проверки используется следующая команда:<br />
моаЭто означает, что исходящий ikesnoop будет отправлен в консоль для каждого IKE-согласования<br />
VPN-туннеля. Исходящие данные можно ограничить до одного IP-адреса, например, IP-адрес<br />
-10.1.1.10, используется следующая команда:<br />
ралИспользуемый IP-адрес – это IP-адрес удаленной конечной точки VPN-туннеля (либо IP-адрес<br />
удаленной конечной точки, либо IP-клиента). Для выключения функции мониторинга используется<br />
следующая команда:<br />
ррр<br />
Исходящие данные опции verbose могут оказаться сложными для восприятия администратора,<br />
который видит их в первый раз. Ниже представлены некоторые типичные исходящие данные<br />
ikesnoop с объясняющей аннотацией. Согласование туннеля выполняется на основе общих ключей. В<br />
данном разделе не обсуждается согласование на основе сертификатов, но используются те же<br />
принципы, что и в согласовании туннелей на основе общих ключей.<br />
Подробная информация об опциях команды ikesnoop содержится в Руководстве по интерфейсу<br />
командной строки CLI.<br />
Клиент и сервер<br />
Две стороны, участвующие в процессе согласования туннеля, называются в данном разделе клиент и<br />
сервер. В данном контексте слово «клиент» обозначает устройство, которое является инициатором<br />
согласования, а сервер – это устройство, которое является ответчиком.<br />
Шаг 1. Клиент инициирует обмен, отправляя список поддерживаемых<br />
алгоритмов<br />
Исходящие данные функции verbose отображают список алгоритмов на выбор, которые клиент<br />
сначала отправляет на сервер. В списке отображаются поддерживаемые протоколы и методы<br />
шифрования. Основное назначение списка алгоритмов заключается в том, чтобы клиент обнаружил<br />
соответствующий набор протоколов/методов, поддерживаемых сервером. Сервер проверяет список и<br />
пытается найти комбинацию протоколов/методов, отправленных клиентом, который их<br />
поддерживает. Этот процесс является одним из основных в обмене IKE.<br />
IkeSnoop: Received IKE packet from 192.168.0.10:500 Exchange type :<br />
Identity Protection (main mode) ISAKMP Version : 1.0<br />
Flags :<br />
Cookies : 0x6098238b67d97ea6 -> 0x00000000<br />
Message ID : 0x00000000<br />
Packet length : 324 bytes<br />
# payloads : 8<br />
Payloads:<br />
SA (Security Association)<br />
Payload data length : 152 bytes<br />
DOI : 1 (IPsec DOI)<br />
Proposal 1/1<br />
Protocol 1/1<br />
Protocol ID : ISAKMP<br />
SPI Size : 0<br />
Transform 1/4<br />
Transform ID : IKE<br />
Encryption algorithm : DES-cbc<br />
Hash algorithm : MD5<br />
Authentication method : Pre-Shared Key<br />
Group description : MODP 1024<br />
Life type : Seconds<br />
Life duration : 43200<br />
401