HQY 一个和谐有爱的空间

首先部署一台CentOS 7的主机，版本是多少无所谓，反正一update就都是最新的了。配置我给了给了8核CPU、8 GB内存、60 GB硬盘，试试效果。安装过程不多说，可以看到，安装完成的系统版本为7.5.1804。使用以下命令更新操作系统。yum list yum update -y查看更新后的操作系统，可以看到系统版本为7.9.2009。[root@localhost ~]# cat /etc/system-release C

我们之前介绍过如何配置WireGuard互联（在Ubuntu快速配置WireGuard互联），但是WireGuard不支持开机自动配置。不只是WireGuard，openVPN的客户端也不支持开机自启动，只有服务端支持。其实观察我们之前的配置，仅使用一条wg-quick命令就能快速实现WireGuard的配置，如下所示：wg-quick up /root/wg0.conf按照我们之前介绍VPP时的做法（Wireguard + VPP = WireVPP），我们可以将启动命令写

WireGuard的对标选手主要是IPsec和openVPN，目标是比IPsec更快、更简单、更精简、更有用，比 OpenVPN 性能更高。对比IPsec部分，我们之前也测试过了（2个报文即完成隧道建立！WireGuard的报文交互竟然比野蛮模式还快！），在Windows系统中，WireGuard确实相比传统的IPsec有了较大的改进，一般需要至多6次报文交互即可完成隧道建立；并且，传统的IPsec在转发层和接口层是分离的，而WireGuard则直接新建了一个虚拟接口来进行转发。性能部分，虽然我

使用命令行管理 Windows 防火墙https://learn.microsoft.com/zh-cn/windows/security/operating-system-security/network-security/windows-firewall/configure-with-command-line?source=recommendations&tabs=powershell 适用于:✅ Windows 11, ✅ Windows 10, ✅&

IPSec的全称是Internet Protocol Security，翻译成中文就是Internet协议安全性。它的作用主要有两个：一个是保护 IP 数据包的内容，另外一点就是通过数据包筛选并实施受信任通讯来防御网络攻击 netsh ipsec 使用方法 在命令行下，通过netsh ipsec static来配置IPSEC安全策略。前提是IPSEC服务已经打开。 一个IPSEC由一个或者多个规则组成；一个规则有一个IP筛选器列表和一个相应的筛选器操作组成；这个筛选

netsh是一个非常强大的、命令行的网络配置工具。它可以进行网卡配置、防火墙配置、IP安全策略等配置。比如我们如果想是想对精确控制某个IP对本机某个端口的访问，完全可以通过配置本地的IPSec来实现。 配置ipsec策略一般有五个步骤：【1】创建策略。【2】创建过滤器。【3】创建过滤动作。【4】创建规则(封装策略)。【5】启用和关闭策略。---------------------------------------------------------------------------

一、前言因为家里宽带没有公网IP也不支持ipv6，一直使用 frps 作为内网穿透的工具。后来发现了 wireguard，于是就将家里的服务器与具有公网IP的云服务器组网，实现内网穿透功能。这里主要介绍 wireguard 的安装以及本人在用的两种组网方式，能够满足正常工作、学习所需了。二、 安装 wireguardwireguard 的安装，有内核版本的要求，所以低内核版本的系统，在安装时候需要先升级内核版本（5.0以上内核版本可以跳过）。因为本人使用的时 cen

Windows通过netsh命令配置IPsec前面介绍过IPsec协议规范和相关的配置实验（IPsec合集）。协议规范（IPsec：RFC2401-互联网协议的安全架构）里面也提及了，IPsec定义了两种类型的SA：传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。隧道模式SA是两个安全网关之间的安全联盟。既然之前测试的都是安全网关之间的隧道模式的IPsec，那我想你大概率没有接触过主机之间的传输模式的IPsec。那怎么测试呢？那就用两台Windows创建IPsec试一下吧。首先铺垫

本文将以netsh和MMC两种方式配置主机间的IPsec，也就是一台使用netsh方式，另一台使用MMC方式。组网图实验环境VM1：Microsoft Windows Server 2008 R2 Datacenter（6.1.7601 Service Pack 1 Build 7601）VM2：Microsoft Windows Server 2012 R2 Datacenter（6.3.9600 暂缺 Build 9600）vFW：Version 7.1.064, ESS 1171P13实验

结合RFC2401（IPsec：RFC2401-互联网协议的安全架构）、RFC2402（AH：RFC2402-IP Authentication Header）、RFC2406（ESP：RFC2406-IP Encapsulating Security Payload）的相关说明：IPsec SA（Security Association，安全联盟）分为两种类型：传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下，传输模式 SA 仅为这些更高层协议提供安全服务，而

IPsec实验测试了两端不同子网的隧道打通，那能不能打通两端相同的子网呢？原则上是不行的，因为不同站点的网段在设计时就要求不能冲突，这样会影响报文的正常转发。当分支数量大于2个时，也会导致不同隧道的保护流量源目地址段重复，进而导致数据转发异常。但是，大二层网络技术都已经实现了，为什么IPsec不能用呢？我们来一步一步地分析一下具体原因和解决办法。组网需求和组网图和上个实验相同。在RT1和RT2之间建立一条IPsec隧道，对PCA（192.168.1.101/24）与PCB（192.168.1.1

正文共：32277字 31图，预估阅读时间：50 分钟1、简介1.1、文件内容概要本备忘录规定了 IPsec 兼容系统的基本架构。该架构的目的是在 IPv4 和 IPv6 环境中为 IP 层的流量提供各种安全服务。本文档描述了此类系统的目的、它们的组件以及它们如何相互配合以及如何融入 IP 环境，它还描述了 IPsec 协议提供的安全服务，以及如何在 IP 环境中使用这些服务。本文档并未涉及 IPsec 体系结构的所有方面，后续文档将解决更高级的其他架构细节，例如，在 NAT

前面的文章中（IPsec：RFC2401-互联网协议的安全架构、IPsec小实验：手工方式建立保护IPv4报文的IPsec-ESP隧道、为什么IPsec两端内网的网段能不能重复？分明可以实现！、填坑：IPsec不同安全协议的报文封装结构对比、还能这么玩？Windows通过netsh命令配置IPsec、使用MMC和netsh两种方式配置Windows Server传输模式IPsec），我们用了很大篇幅来说明IPsec支持的两种封装模式：传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟。在E

实际应用场景中，如果和SD-WAN结合起来，很少会使用这种两端直连的场景（IKE主模式及预共享密钥认证配置）。或者说，两个子网的互通可能是通过第三台设备来实现的。举例说明一下，上次的实验中，RTB和RTC是直接建立的IPsec隧道，而实际应用中，有可能是RTA和RTB、RTC之间分别建立IPsec隧道，再实现RTB和RTC两台设备下挂子网的互通。组网需求某SD-WAN使用场景，组网使用3台路由器。图中RTA为总部设备，RTB、RTC为分支设备，RTA和RTB、RTC之间分别建立IPsec隧道，对

测试VPP的性能和性能调优时，我查阅了VPP官网的相关资料，其中有一条让我有点意外。对于虚拟化扩展功能，前面讲必须启用“英特尔虚拟化扩展”（用于VT-x）和VT-d（用于直接IO）以及DMA重新映射（DMAR）。VT-d启用PCIe直通所需的IOMMU虚拟化功能。此外，应启用中断重新映射，以便可以将硬件中断重新映射到VM以进行PCIe传递。但是后面又说“建议禁用VT-d一致性支持以获得更高的性能”。至于最后提到的Intel Sandy Bridge架构的CPU，如果需要高性能，则不建议使用San

现在我们已经有了穿越NAT场景下的Full-Mesh组网（HPE VSR配置穿越NAT场景下的ADVPN案例），并且还知道了分支之间互访的Spoke-Spoke隧道的转发是不需要经过HUB节点的（ADVPN的S-S捷径到底有没有从总部绕转？）。我们也配置了基于IPsec VPN的VXLAN“专线”（一种基于IPsec的VXLAN“专线”解决方案），那把这几种整合起来，是不是就有了一张跨越在公网上的大二层网络交换机了呢？实验组网如下图所示：为了不受公网带宽影响，方便测试性能，3台设备我们都使用本地

我们在EVE-NG模拟器中，对基于VPN虚拟链路的负载分担进行了初步配置和简单测试，但是受限于EVE-NG模拟器的稳定性问题，最终没有实现既定的测试目标。所以，我又在VMWare中把实验环境重新部署了一遍，争取完成测试目标。实验组网组网拓扑和之前的基本相同，VSR2用于模拟公网环境，避免隧道两端直连；VSR1作为本地主机PC的网关设备，穿越VSR2设备，和VSR3建立GRE隧道，和VSR4建立L2TP隧道，和VSR5建立IPsec隧道。实验环境VMWare ESXi 6.7.0（ProLiant

某厂商分支组网场景下的SD-WAN方案，有很多同学问不就是手工配置IPsec嘛，为啥叫SD-WAN。有一篇很早的文章（来吧！听听我对SD-WAN的理解），里面大概介绍了，SDN架构的主要组成部分是三大平面（数据面、控制面和管理面）与两大接口（南向接口和北向接口）。标准场景下，网络硬件/数据转发层面的设备配置甚至流量转发都是由控制器直接控制的，但是我暂时还不具备手撸控制器的能力，所以只能手配了。所以与标准架构相比，我们缺少的主要还是控制器。回过头来看，SD-WAN的主要功能还是用比较低的成本实现分

假设有这样一张网络，其中RTA和PCA表示某公司的A分支，通过中国电信CT路由器接入互联网ISP；RTB和PCB表示某公司的B分支，通过中国联通CU路由器接入互联网ISP。DNS（8.8.8.8）表示某互联网应用。为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通，现计划使用某厂商的SD-WAN方案进打通两个内网，像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备，分支侧通过接入CPE设备进行互通。为不改变现有网络结构，将CPE设

Gartner的2019年防火墙魔力象限报告，才领悟到真的是山外有山，海外市场的技术和产品发展领先国内厂商太多，今天来向大家来简单宣传一下。（文末有个小调查，欢迎大家投票！）（Gartner Group公司成立于1979年，是第一家信息技术研究和分析的公司，目前已经成为了一家独立的咨询公司，服务主要是迎合中型公司或技术用户的需求。它希望使自己的业务覆盖到IT行业的所有领域，从而让自己成为每一位用户的一站式信息技术服务公司。）Gartner魔力四象限(Gartner Magic Quadrant）