引用:
|
作者anderson1127
說實話,我學IPSec時,還沒弄懂整個VPN理論時,的確很容易會被卡在IPSec的理論裡繞不出來
等學成了之後,猛然才發現,phase 1 & 2 甚至 IKE ,都不是重點之所在,因為整個理論看下來
都沒有人提到運作的環境, 有個東西最重要 , 我當初從Cisco取得的config guide 裡,也覺得狐疑
為什麼access rule裡要先Deny ACL的這個設定,後來才整個打通運作原理!!
所以,我才敢講,phase 1 & 2不是重點,基本上兩端的設備只要講好initial key 是相同的
基本設定是可以上網的,那就兩端預先設定好相關TCP/IP參數後,就可以通了!! 可是事實上
真是如此嗎 ??
我這裡一直不提到那個重點是什麼 , 有興趣者請自行查閱Cisco Document資料 , 裡面會有提到一些些 !!
但是我看過各種文件,幾乎沒有一個文件是把它當做重點在講的....
|
哈哈, 看到這 我笑了. 不同設備 特性也不同, 懂了Cisco不一定其他牌的就沒問題.
對自己有自信當然是好事, 不過連我師傅在教課不用看講義的也不曾說他已打通原理.
魔鬼就在細節裡, 別輕易的說 哪邊不是重點. 我們實做過數千條同時在跑, 三個layer
(中央/縣市/鄉鎮)的partial mesh VPN網路, 跟五六種品牌設備介接, 遇到的問題可說
千奇百怪, 相信我, 重點在"很多"地方.
VPN 除錯, 至少有一打以上的眉角會讓通訊不成功, 雖是互連, 但兩邊設備你不見得都能
存取, 可能你只有一側有權限有console, 頂多協調另一邊工作人員聽你指揮, 幫你插線
重開, 看燈號....等簡單工作, 你怎麼知道兩方的proposal有沒有選對? key 正確與否?
中間網路設備有沒有鬼? 要注意的是甚麼? 萬萬不是lab做兩台同品牌直通那麼簡單.
沒有長時間拿案子來磨, 不會知道所有細節, 不會/會/熟/精/通 五個階層 可說是細節的
掌握度的差異. 這些實戰經驗是文件無法彌補與取代的.
工作先求有再求好, 有工作可跳槽, 沒工作就一直在面試, 若胸有成竹, 不妨先進入職場
嶄露頭角再另謀打算, 會比一直準備要可行.