1、EG4B8版本在WEB上VPN拓扑图支持多少个分支机构图形呈现?
50个,超过50个后会以表格的形式呈现。
2、EG部署在局域网中,并且是在NAT模式下,是否支持VPN呢?
部署环境:
内网—EG(路由NAT)—局域网出口(路由NAT)—公网
4b8版本及以后版本支持EG部署在nat内部环境中,4T90版本不支持。
4、EG/NBR4B8 P3版本是否支持SSL VPN?
不支持,从4B10版本开始支持SSL VPN
5、EG/NBR的ipsec
vpn身份认证协议有哪些?
截止4b10版本只支持预共享密钥,不支持证书。
6、EG/NBR 4B10目前支持拨完VPN后直接进行通过内网的AD域认证吗?
截止4b10(包含4b10版本)目前不支持
7、NBR/EG借线,现在支持对VPN数据中的某个应用进行流控吗?
截止4b10版本都不支持,因为只能对VPN所有应用进行流控,因为VPN借线的流量是从外网口进从外网口出,设备不支持这样的数据流识别,识别不出应用,就更不可能进行应用控制了。
8、4b10中SSLVPN提供哪两种接入模式?
web接入:也叫做代理Web页面,它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
IP接入:需要下载运行的客户端支持。客户端和EG设备建立SSL隧道后,EG为客户端分配IP.
客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。
9、SSLVPN可用哪两种模式部署?
(1)网关模式即路由模式
(2)单臂模式(receive-only) :该工作模式下,可以对报文进行流量识别等操作,此模式从10.3(4b8)版本开始支持,只应用于设备旁挂部署场景。
注:当网桥工作在网桥转发模式(forward)时,阻断和流控策略才会有效,其他工作模式均无效。
10、EG和SAM做联动,各版本要求是?
EG的版本是要求4b10以后的版本(包括4b10)
SAM的版本要求是3.95版本及3.95以上的版本。
11、pptp vpn支持的手机客户端有哪些?
苹果和安卓
12、EG/NBR配置l2tp
over ipsec ,外网的同一个局域网内两个用户(通过相同的出口上网)一次只能拨上一个用户,不能同时拨上的原因是什么?
因为两个客户端在nat之后是相同的公网IP,l2tp
over ipsec 同一个IP只限拨入一次,如果是外网用户拨入,只要pc不经过nat就不会限制。
13、pptp拨入的用户想要禁止通过服务端上网?
template口是提供ppp口的配置模板 在创建的时候就指定了nat这些功能,不能中途删除。
因为实际报文走的时候是到ppp口,可以删掉template重配,然后不配置ip
nat inside实现。
14、nbr是否支持和S5750-L做联动?
截止4b10版本(包含4b10版本)不支持
15、ssl vpn,默认支持多少个?
管理license(默认情况下支持5个用户拨入,多用户另行购买license)
16、 ssl vpn的 账号允许共享吗(多个用户使用一个账号同时拨入)?
不行,目前一个账号只能在一处登录, 如果这个账号已经登录了, 然后在其他地方再次登录,
会把前面那个登录的用户给踢下
线。
17、nbr或者eg做和交换机做联动,需要注意什么?
注意:交换机不能修改web端口用默认的端口80.不然会提示线路不通
18、EG2000G最多支持多少条的nat端口映射呢
?
要结合实际配置来判断,nat端口映射这边对设备性能要求也是比较高,如果开启nat 配置acl+流控和vpn,建议不超过50个。
19、从4b8 升级到4b10的版本后,vpn账号配置有2处会改变
1、aaa authentication ppp default local 这个变成aaa authentication ppp default subs
2、username password 变成subscriber static name 222 parent
/Vpn_Group password 7 01721111
vpn认证由local数据库改成使用用户管理这边的subs数据库
是为了要做账号的统一管理
若升级后不更改vpn的配置(vpn认证用户)则配置不会更改,还是用之前的vpn配置进行认证访问,但是如果有更改配置,配置就会自动覆盖修改,一个是将local数据库改成使用用户管理这边的subs数据库,另一个是username
password
20、EG/NBR目前是否可以用域名拨VPN?
可以,截止到4b10版本可在命令下完成
21、eg1000s pptp 支持多少路?和l2tp一样吗?
4b10版本支持:100路不区分型号。
22、客户表示内网一个服务器已经映射到外网的80端口
现在还想映射另外一个服务器的80端口 该怎么调试
端口都是唯一的,如果端口映射已经占用了该端口,那这个端口将不能重复给另外一个服务器映射使用。
23、EG设备是否支持pppoe
server?
不支持,我们只支持客户端拨号。
24、EG/NBR设备pptp是否支持手机客户端去拨入?
支持
25、 EG支持不支持NAT-T(ipsec中的nat穿越)?
支持
26、1300G咱们PPTPvpn能支持客户进来每次拨入都获取同一个地址吗?
不支持
27、NBR1500G,客户咨询默认开放了哪些端口,怎么查?
默认没有禁止端口
28、eg或者nbr 配置ipsec 支持证书方式吗?
不支持
29、eg或者nbr 配置ipsec是否支持DPD包活功能?
支持,我们EG和NBR默认开启,web上没有配置的选项,命令行下显示的命令如下:
crypto isakmp keepalive 300 periodic
30、EG/新NBR配置l2tp over ipsec vpn时,使用电脑拨,需要设置的参数为多少?
使用预共享密钥方式,两边密钥一致即可,第二阶段电脑上默认的参数如下:设备也需要调整如下参数才能拨上。
win
7默认的l2tp over ipsec第二阶段的参数为 esp 3des sha dh组1
XP 默认的l2tp over ipsec第二阶段的参数为 esp 3des sha和esp
3des md5 (设备上使用其中一种就行)
31、ipsec over l2tp 是否可以让路由器和电脑同时拨
可以
32、NBR/EG ipsec vpn ,作为客户端,对端服务端且外网线路是拨号,使用域名的方式。我们客户端需要如何配置?
截止到4b10版本只能命令行下配置,下面是客户端的命令行下配置案例:
拓扑:IPSEC服务器(域名:aaa.com)---公网---IPSEC客户端
客户需求:兴趣流172.18.234.0-4.0.0.0,172.18.234.0为分支内网网段,4.0.0.0为总部内网网段
客户端的配置如下:
1、NAT的ACL
ip
access-list extended 110
10000
deny ip 172.18.234.0 0.0.0.255 4.0.0.0 0.255.255.255
99999
permit ip any any
2、兴趣流的ACL
ip
access-list extended 199
10
permit ip 172.18.234.0 0.0.0.255 4.0.0.0 0.255.255.255
crypto
isakmp mode-detect
3、第一阶段IKE
crypto
isakmp policy 1
authentication
pre-share
crypto
isakmp keepalive 300 periodic
crypto
isakmp key 0 mima hostname aaa.com
4、第二阶段变换集合
crypto
ipsec transform-set si_set_1 esp-des esp-sha-hmac
5、服务器域名aaa.com
crypto
map Gi0/3 1 ipsec-isakmp
set
peer aaa.com
set
transform-set si_set_1
set autoup
match
address 199
6、从gi0/3去连接
interface
GigabitEthernet 0/3
crypto
map Gi0/3
7、路由
ip
route 4.0.0.0 255.0.0.0 GigabitEthernet 0/3 172.18.3.1
查看接入状态命令
show
crypto state web
33、SSL VPN功能是否能实现账号与MAC地址绑定功能,即此账号只能用固定的MAC地址才能登录,如果换为别的MAC地址无法登录成功
截止到4b10版本不支持,下一个版本已在开发,明年初会完成。
34、SSL VPN功能支持IE10/IE11么
截止到4b10版本使用IE10/IE11可登录,但无法弹出插件安装也看不到可用资源。因为IE10和IE11变化非常大,我们设备需要相应修改很多才能支持,研发开始开发,下一个版本会改善。
35、EG上配置SSL VPN,电脑或手机登录后,是否可远程桌面到内网主机
支持
36、SSL VPN手机支持情况
目前手机只支持通过web代理访问资源,无法通过隧道访问资源。
37、IPsec中pfs的说明和配置
pfs即完美向前保护,是ipsec第二阶段的一个参数。在使用PFS之前,IPSEC第二阶段的密钥是从第一阶段的密钥导出的,使用PFS,使IPSEC的两个阶段的密钥是独立的。这样可以提高安全性,防止获取到第一阶段密钥后来破解第二阶段的密钥。
配置如下:
38、PPTP和L2TP客户能否使用我们本地的用户名和密码登陆,就是通过username xx
password xx添加的那种用户。
可以,命令如下:
Ruijie(config)#aaa authentication ppp default local subs none意思是先采用设备本地用户名密码认证,然后再采用用户组织,最后可以不
认证实现逃生。之前的4b8版本的用户组织是使用username
xxx password xxx这种方式来实现的,4b10及后续版本统一采用subscriber这
种方式。
39、EG1000c 硬件v1.0是否支持ipsec?
只有4b8版本以下才支持。而且只能支持10-20路的隧道,流量大概2-3m,性能不高。
40、pptp和l2tp的用户是否可以共用,另外一个账号是否可以既拨pptp又拨l2tp?
可以,用户是共用的。
41、ipsec 支持的隧道数怎么算?
按照spec表上的参数走,终端拨入和设备拨入等价,一个设备或终端占一个隧道。
42、ssl vpn 支持的隧道数怎么算?
目前只是指终端拨入的数目,不支持设备拨入。一个终端算一路。另外支持的路数和设备的内存大小有关,详细参见spec表。
43、ssl vpn 手机客户端的web logo是否能自定义?
手机客户端的logo不能更改。pc通过web界面登录的logo可以更改。如下图:
44、设备做总部,分部vpn拨入时,有时候在简易拓扑图里看到分部的名称是用户名有时候是ip,什么原因?
对于pptp和l2tp用户,由于用户名和密码都在本地用户组织中设置,所以当客户端拨入时,会自动关联用户名。对于ipsec
不需要用户名和密码,设备是通过ip地址来识别对端的,所以只会显示对端的ip地址。
45、我们pptp是否支持做总部和其他厂商的设备对接?
支持。正常的pptp总部配置即可,只要对端客户端使用的是标准的协议。
46、设备和设备l2tp互拨,如果总部是拨号线路,配置花生壳,分部支不支持填写域名来拨入?
不支持。
47、ssl vpn拨入后,用户流量在流控中是否能审计到?
由于是wan口进,wan口出,所以审计不到。
48、ssl vpn拨入后,如何查看用户的登入情况?
在基本状态里,右上角有个查询按钮,可以查询到历史记录。
49、EG1000cm是否支持反向路由注入?
不支持。反向路由注入简称rri,是一种用于集成路由可用性和ipsec状态的机制。配置了rri的设备,会根据ipsec隧道的状态动态生成去往感兴趣流网段的路由,一旦隧道断开,相应的路由也会消失,主要用在双出口主备切换的情形,如果分部和主设备的ipsec隧道断开,设备检测到后,会自动删除原先的去往分支机构网段的路由,这时候分支机构设备和总部备设备建立ipsec隧道,通过rri下发静态路由,从而使内网用户可以无缝切换。
50、增加ssl vpn 客户端下载的地址。
登录后浏览器里面输入:
https://gateway_ip_address/client/RgSslvpnCommonSetup.exe for 32bits
os
https://gateway_ip_address/client/RgSslvpnCommonSetup_x64.exe for 64bits os
其中gateway ip address是设备的管理地址。
51、EG和新NBR是否支持
MPLS
不支持
52、EG桥模式是否支持pptp,l2tp,ipsec等vpn?
不支持
53、新NBR和EG是否有open
ssl漏洞?
没有此漏洞。关于open
ssl漏洞说明,OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥、用户名、用户密码、用户邮箱等敏感信息。该漏洞允许攻击者,从内存中读取多达64KB的数据。
54、新NBR和EG ipsec是否支持数字证书认证?
不支持。