Networking
非預設埠上的華為 Secospace USG 2000
我想知道 IPSec 的預設埠是哪個。我嘗試連接所有預設埠,但沒有成功。此外,我已將 NMap 應用於他們,但沒有任何回應。
通常,ISAKMP 密鑰交換發生在 UDP/500 上。encapsulating-security-payload 模式下的 IPSec 有自己的協議號(50),因此“埠”的問題不適用。NAT-traversal 模式中的 IPSec 通常使用 UDP/4500,但除非您確定您處於 NAT-T 模式,否則這將不適用。
埠掃描的第一個問題,即使對於 ISAKMP 子系統,也是它不是 TCP,因此您不能利用三次握手來確認它在偵聽任何與協議相關的問題可能出現*之前。*此外,許多 IPSec 設備被配置為完全忽略不是來自配置為與之交談的對等方的請求,或不適合該協議的流量。這表面上是出於“安全”原因,但實際上它是一個主要的 PITA,它可能解釋了為什麼您的
nmap掃描沒有顯示任何內容。對於一些非常棘手的 Checkpoint 防火牆,我曾經不得不與之對等,一旦提出 IPSec 提案,其中包含他們不滿意的任何內容(在這種情況下,一方想要壓縮,而另一方沒有)他們去“死在水中” - 完全沉默 - 而不是協商替代連接參數,儘管對等方是眾所周知的。如果不是 C&W 有一位非常優秀的檢查站工程師,以及她對 C&W 高級管理人員的靈巧使用來依靠諾基亞,我認為我們永遠不會發現為什麼他們的檢查站一直對我們保持沉默。