引用:
|
作者anderson1127
我不覺得好笑啊!! 那裡好笑??
我還沒學好VPN之前,就曾經聽說過, IPSec是最容易設定起來的VPN , 理由無它 , 只因為它是
RFC標準規範
如果建不起來,就要考量以下兩點
1. config 的工程師對IPSEC不熟 , 運作理論不清楚
2. 設備沒有依照標準規範進行設計
L2TP/PPTP 我還不敢肯定,不同的設備到底能不能互通, IPSEC如果還不能互通,那肯定有鬼 , 鬼在那裡,自己應該明白!!
網路設備沒有所謂的眉角 , 標準就是標準 , 如果依照標準走 ,還會弄出來許許多多奇怪問題
那肯定就是上面說的那兩種之一 !! 我這樣說好了 , IPSEC VPN在建立起來之前,有一個必要的Config 要做
能夠明白點出來的,我相信對方在IPSEC VPN的觀念就會很清楚,說不出來的,那也就是說
他是一知半解的!! 會發生奇怪狀況,相信也是很正常的!!
|
其實從你的回答可以發現你的實務經驗極少, 的確網路協定是標準, 但網路運作是整體的
可能數十上百個設備連動, 不是只顧你自己一個box就好.
有經驗的老手自動會注意到, 但是新手卻不一定會留意到, 或許你在Cisco的東西上發現
其中一個點, 但整體還差得遠.有很多你認為理所當然的事情,若現場不是如你所想,或有
其他人為疏忽, 能在這種不完美的環境下處理除錯才有價值, 不是丟句"標準"甚麼問題都
會自動消失. 就算你會設定, 設備也符合規範, 但是中間的其他網路設備之前封鎖了UDP,
造成IKE無法溝通, 這類問題你能從毫無訊息而自己發現確認? 不算是眉角之一?
不同的設備處理封包的flow也不同, 設定邏輯也不同, Deny ACL在Cisco需要, 在其他
廠牌設備卻未必, 別抓著一點點小地方而覺得很關鍵, 那就坐井觀天了. 況且對一個數千條
VPN的案子, 你要怎麼設計規劃, 既能替公司節省人力/工時, 又替業主日後好維護管理?
並讓設備預算具競爭力? 這才是你真的能發揮價值的地方. 不要說業務多會打discount
有knowhow的設計跟土砲硬幹的方案, 價格可以差十萬八千里, 維護難度可以天壤之別.
講理論/看理想狀況, 任何協定都不難, 都該能完美運作, 但那離真實生活十分遙遠.