哈哈, 如果你想做security consultant或是當security engineer就會用到.

除錯, 是考驗能力很好的方法, 但要有效率的除錯, 原理一定要十分熟悉, 你才能抽絲剝繭

今天假設有個IPSEC VPN出問題, 你想要除錯, 但是你對IKE一無所悉, 就算讓你翻手冊

找到VPN的章節, 大概你除了照手冊按表重設之外也是束手無策, 書到用時方恨少就是

這種情境. 反之, 如果你懂IKE是怎麼運作的, phase 1, phase 2 各該出現甚麼東西

以確保運作有正常, 你很快就有線索可以如何進行除錯, 能有系統的過濾問題出在哪裡.

甚至設定應該沒問題, 而是出在其他搭配的設備上, 有經驗的好手可能十分鐘收工,

沒頭緒的新手搞一下午重設了十次可能還是熱鍋上的螞蟻, 還在這邊ping 那邊ping,

百思不得其解, 為什麼我照手冊作了還是不會通, log擺在眼前也像是無字天書.


extra credit comes from extra effort. 比別人多一分準備, 用到的時候就施展得出來

就看自己要不要投資. 不做不會怎樣, 因為大部分的人都不做, 但做了會很不一樣.

說實話,我學IPSec時,還沒弄懂整個VPN理論時,的確很容易會被卡在IPSec的理論裡繞不出來

等學成了之後,猛然才發現,phase 1 & 2 甚至 IKE ,都不是重點之所在,因為整個理論看下來
都沒有人提到運作的環境, 有個東西最重要 , 我當初從Cisco取得的config guide 裡,也覺得狐疑
為什麼access rule裡要先Deny ACL的這個設定,後來才整個打通運作原理!!

所以,我才敢講,phase 1 & 2不是重點,基本上兩端的設備只要講好initial key 是相同的
基本設定是可以上網的,那就兩端預先設定好相關TCP/IP參數後,就可以通了!! 可是事實上
真是如此嗎 ??

我這裡一直不提到那個重點是什麼 , 有興趣者請自行查閱Cisco Document資料 , 裡面會有提到一些些 !!
但是我看過各種文件,幾乎沒有一個文件是把它當做重點在講的....

哈哈, 看到這 我笑了. 不同設備 特性也不同, 懂了Cisco不一定其他牌的就沒問題.

對自己有自信當然是好事, 不過連我師傅在教課不用看講義的也不曾說他已打通原理.

魔鬼就在細節裡, 別輕易的說 哪邊不是重點. 我們實做過數千條同時在跑, 三個layer

(中央/縣市/鄉鎮)的partial mesh VPN網路, 跟五六種品牌設備介接, 遇到的問題可說

千奇百怪, 相信我, 重點在"很多"地方.


VPN 除錯, 至少有一打以上的眉角會讓通訊不成功, 雖是互連, 但兩邊設備你不見得都能

存取, 可能你只有一側有權限有console, 頂多協調另一邊工作人員聽你指揮, 幫你插線

重開, 看燈號....等簡單工作, 你怎麼知道兩方的proposal有沒有選對? key 正確與否?

中間網路設備有沒有鬼? 要注意的是甚麼? 萬萬不是lab做兩台同品牌直通那麼簡單.

沒有長時間拿案子來磨, 不會知道所有細節, 不會/會/熟/精/通 五個階層 可說是細節的

掌握度的差異. 這些實戰經驗是文件無法彌補與取代的.

工作先求有再求好, 有工作可跳槽, 沒工作就一直在面試, 若胸有成竹, 不妨先進入職場

嶄露頭角再另謀打算, 會比一直準備要可行.

我不覺得好笑啊!! 那裡好笑??

我還沒學好VPN之前,就曾經聽說過, IPSec是最容易設定起來的VPN , 理由無它 , 只因為它是
RFC標準規範
如果建不起來,就要考量以下兩點
1. config 的工程師對IPSEC不熟 , 運作理論不清楚
2. 設備沒有依照標準規範進行設計

L2TP/PPTP 我還不敢肯定,不同的設備到底能不能互通, IPSEC如果還不能互通,那肯定有鬼 , 鬼在那裡,自己應該明白!!

網路設備沒有所謂的眉角 , 標準就是標準 , 如果依照標準走 ,還會弄出來許許多多奇怪問題
那肯定就是上面說的那兩種之一 !! 我這樣說好了 , IPSEC VPN在建立起來之前,有一個必要的Config 要做

能夠明白點出來的,我相信對方在IPSEC VPN的觀念就會很清楚,說不出來的,那也就是說
他是一知半解的!! 會發生奇怪狀況,相信也是很正常的!!

其實從你的回答可以發現你的實務經驗極少, 的確網路協定是標準, 但網路運作是整體的

可能數十上百個設備連動, 不是只顧你自己一個box就好.

有經驗的老手自動會注意到, 但是新手卻不一定會留意到, 或許你在Cisco的東西上發現

其中一個點, 但整體還差得遠.有很多你認為理所當然的事情,若現場不是如你所想,或有

其他人為疏忽, 能在這種不完美的環境下處理除錯才有價值, 不是丟句"標準"甚麼問題都

會自動消失. 就算你會設定, 設備也符合規範, 但是中間的其他網路設備之前封鎖了UDP,

造成IKE無法溝通, 這類問題你能從毫無訊息而自己發現確認? 不算是眉角之一?

不同的設備處理封包的flow也不同, 設定邏輯也不同, Deny ACL在Cisco需要, 在其他

廠牌設備卻未必, 別抓著一點點小地方而覺得很關鍵, 那就坐井觀天了. 況且對一個數千條

VPN的案子, 你要怎麼設計規劃, 既能替公司節省人力/工時, 又替業主日後好維護管理?

並讓設備預算具競爭力? 這才是你真的能發揮價值的地方. 不要說業務多會打discount

有knowhow的設計跟土砲硬幹的方案, 價格可以差十萬八千里, 維護難度可以天壤之別.

講理論/看理想狀況, 任何協定都不難, 都該能完美運作, 但那離真實生活十分遙遠.

就算Cisco設備也不是非常OK
特別是WEB UI
之前在ASA上用ASDM的IPSEC VPN WIZARD建一條新的VPN
OK可以通
但是部份舊的VPN就不通了
log多數為Removing peer from peer table failed, no match
config一個對一個狂查
最後發現IPSEC Proposal有一些自動消失了
這應該是bug吧
以後就手動建VPN
就沒發生這種靈異現象

小弟潜水了這麼久，看到R大的回答，真的是講解到重點。
在IT業界工作了那麼久，這概念一直是很模糊，無法清楚的解釋出來
自己會依照經驗思考分析各類問題，可是沒法把這慨念傳達到部門

給樓主 - 小弟現在就是在澳洲雪梨工作，IT相關的職位
OCP+CCIE是極不好的組合，這兩項技能沒有相乘的效果
你有programming的經驗
走OCP+前端應用程式會好很多，如SAP或是PeopleSoft

security consultant沒事不會去走幫客戶除錯這條路好嗎...
這種工作是客戶要自己來..除非那個人是以產品為主的security consultant
否則不以產品為主的是不會介入這種事情的...

有點懶得再打那麼多字 , 我簡單講 , 理論基礎不清楚,如同地基不牢固, 上面做什麼建築
再怎麼堅固,最後還是要垮下來!! 一樣的道理 , 實務經驗再多 , 也遠遠比不上理論紮實
從你之前說的很多不同廠牌之間匹配的問題就可以看得出來 , 會遇上很多奇怪問題 , 說實話
不奇怪 !! 因為理論似懂非懂的人就會搞出這種事出來...



R兄,你也真奇怪,單純討論一個IPSEC VPN , 就東拉西扯的一大堆 , 動機讓人覺得十分可疑
一個設備如果都設不好,就別說幾十個,幾百個設備!! 動不動就拿大架構來壓人 ,是想欺我
沒見過大世面嗎 ??

Network Architecture Implement 不在這次的討論範圍裡, 你也不用扯你在客戶端的
有多少的光榮事蹟 , 那些事情原本就只是網路工程師該做的標準流程 , 以及施工時應該要注意的事項!!
客戶端的設備管理問題,主要取決於客戶有多少的預算,想做多少的事來決定!! 這些都不用你在這裡放閃光
因為沒人要跟你討論這個東西!! 還記得吧, 我們討論的是IPSEC VPN ...

Cisco Router IPSEC VPN那段ACL,我事後去review ,才會知道它的意義所在,事前未懂之時
那段config 對我來說,還真的是有看沒懂 !!

還是一樣,我只有質疑你的團隊,對於IPSEC VPN是真懂還是似懂非懂 !! 不然我問的問題
都不見你正面回應,只有看你扯一堆打高空的言論 !!