1.客户端发起连接，如果客户端使用preshared key来确定自己的身份，则客户端发起的是aggressive mode的IKE第一阶段协商。如果使用的是数字整数的话，则发起的是main mode模式协商。

如果客户端客户端通过preshared key确定自己身份，则与这个KEY相关联的组名可以用来确定发送哪个组属性给客户端，如果使用的是证书，那么著名NAME种的组织单元字段被用来确定组属性配置。

2。确定身份后，客户端试图在客户端公开IP和VPN－server公开IP之间建立IKE-SA，客户端会提交各种组合，使用第一个匹配上的组合。

3。设备验证完毕后，开始用户验证过程。

4。如果配置了扩展验证Xauthen，则开始Xauthen过程，客户端会等待用户输入用户名和密码，然后和VPN-SERVER之间进行挑战，扩展验证会配合使用AAA，在扩展验证成功后，可以实现基于每用户的策略属性配置，即根据不同用户push不同配置属性。

5。客户端获得地址后，VPNSERVER使用反向路由注入（reverse route injection）来为每个客户产生一条静态路由。确保路由畅通。(分为动态加密映射和静态加密映射，动态加密映射下自动为对被保护的等体主机或子网产生静态路由，静态加密映射下为ACL所指定的规则网络产生一个静态路由)

6。在所有参数都PUSH给客户端后，IKE快速协商模式开始，并建立IPSEC SA。

7。IPSEC SA完成后，整个过程完成。

VPN支持的功能特性：

• Mode Configuration Version 6 Support

• Xauth Version 6 Support

• IKE DPD

• Split Tunneling Control

• Initial Contact

• Group-Based Policy Control

• User-Based Policy Control

• Session Monitoring for VPN Group Access

• Easy VPN Virtual Interface Support on a Server

• Virtual Tunnel Interface Per-User Attribute Support

• Banner, Auto-Update, and Browser Proxy

• Configuration Management Enhancements

• Per User AAA Policy Download with PKI

• Syslog Message Enhancements

• Network Admission Control Support for Easy VPN

• Central Policy Push Firewall Policy Push

• Password Aging

• Split DNS

• cTCP

Related Documents

Related Topic	Document Title
Configuring a router as a VPN client	Easy VPN Remote Enhancements, Cisco IOS Release 12.4(4)T feature module
General information on IPsec and VPN	Refer to the following information in the product literature and in IP technical tips sections on Cisco.com: • Cisco IOS Security Configuration Guide • Cisco IOS Security Command Reference, Release 12.4 • An Introduction to IP Security (IPSec) Encryption • Deploying IPSec • Certificate Authority Support for IPSec Overview • Cisco Secure VPN Client • IPSec VPN High Availability Enhancements, Cisco IOS Release 12.2(8)T feature module • Cisco Easy VPN • Configuring NAC with IPsec Dynamic Virtual Tunnel Interface
IPsec Protocol options and attributes	" Configuring Internet Key Exchange Security Protocol" chapter in the Cisco IOS Security Configuration Guide
IPsec virtual tunnels	IPSec Virtual Tunnel Interface, Cisco IOS Release 12.3(14)T feature module
Network Admission Control	Network Admission Control, Cisco IOS Release 12.3(8)T
RRI	IPSec VPN High Availability Enhancements, Cisco IOS Release 12.2(8)T feature module
Split DNS	Configuring Split and Dynamic DNS on the Cisco VPN 3000

xp正版密钥及修改工具提供下载，解决D版装不上IE7
点这里下载,下载后执行即可.

路径最大传输单元 (PMTU) 黑洞路由器

作者：Cable Guy

有关所有 Cable Guy 专栏文章的列表和其他信息，请单击此处

简介

Internet 协议 (IP) 是针对由以太网、帧中继等多种网络技术构成的网络的应用而设计的。每种网络技术都有不同的最大传输单元 (MTU)，即其能发送的帧的最大大小。IP MTU 就是所能发送的 IP 包的最大大小。以以太网为例，以太网的 MTU 为 1526 字节。减去报头和报尾的大小（共 26 字节），以太网的 IP MTU 为 1500 字节。

为了适应各种网络技术不同的 IP MTU，IP 允许路由器将数据包进行分段。例如，如果数据包的大小超过了转发它的链路所允许的范围，则 IP 路由器会对数据包的有效负载进行分段，然后作为一个个的 IP 包（称为分段）进行发送。

虽然 IP 的这个特性考虑了网络层的独立性，但它也会长时间占用处理器并占用大量内存，进而对 IP 路由器的性能产生实质性的影响。因此，包括 Internet 在内的现代 IP 网络都通过以下方法避免由路由器对 IP 包进行分段：

•	发送基于 UDP 的通信时，将 UDP 消息的最大大小设置为足够小，以防止 IP 路由器进行分段。
•	发送基于 TCP 的通信时，将 IP 报头中的“不分段”(DF) 标记设置为 1，阻止 IP 路由器对 TCP 数据段进行分段。

当 TCP 对等方建立 TCP 连接时，它们会交换各自的 TCP 最大段大小 (MSS) 值。TCP 对等方会使用这两个 MSS 值中的较小值来建立 TCP 连接。以前，主机的 MSS 值是 MTU 减去用于 IP 和 TCP 报头的 40 字节。但是，为了支持额外的 TCP 选项（如时间戳和可选确认），典型的 TCP 和 IP 报头可增至 52 字节或更多字节。

当路由器必须将 IP 包分段但又因 DF 标记设置为 1 而不能分段时，路由器可采用以下任一种方式：

•	发送符合 RFC 792 中最初定义的“ICMP Destination Unreachable-Fragmentation Needed and DF Set”消息，然后丢弃该包。 原始消息格式中不包含有关转发失败的链路的 IP MTU 的信息。
•	发送符合 RFC 1191 中重新定义的“ICMP Destination Unreachable-Fragmentation Needed and DF Set”消息，然后丢弃该包。此新消息格式包含一个 MTU 字段，可指出转发失败的链路的 IP MTU。 RFC 1191 定义了路径 MTU (PMTU) 发现，它使得成对的 TCP 对等方能够动态地发现二者之间路径的 IP MTU，从而发现该路径的 TCP MSS。一旦收到符合 RFC 1191 定义的“Destination Unreachable-Fragmentation Needed and DF Set”消息，TCP 就会将该连接的 MSS 调整为指定 IP MTU 减去 TCP 和 IP 报头的大小。这样，在该 TCP 连接上发送的后续包就不会超过最大大小，无需分段即可在该路径上传输。
•	直接丢弃包。 直接丢弃需分段但 DF 标记设置为 1 的包的路由器称为 PMTU 黑洞路由器。

检测 PMTU 黑洞路由器

PMTU 黑洞路由器会给 TCP 连接带来问题。例如，Microsoft® Windows® XP 和 Windows Server™2003 中的 TCP/IP 协议默认情况下会使用 PMTU 发现。TCP 会发送 DF 标记设置为 1 的数据段，并且在需要时，会根据符合 RFC 1191 定义的“ICMP Destination Unreachable-Fragmentation Needed and DF Set”消息的回执（其中包含 IP MTU），更改 TCP MSS 值。

在 TCP 三次握手期间交换的 TCP 数据段不会太大，因而不会被 PMTU 黑洞路由器丢弃。但是，一旦开始在连接上传输数据—假定基于协商的 MSS 确定的 PMTU 比实际 PMTU 大—TCP 数据段的大于实际 PMTU 的 IP 包就会被直接丢弃。

例如，您可以用 FTP 命令行工具成功地与 FTP 服务器建立连接并登录。但是，当您试图下载或者上载文件时，中间的 PMTU 黑洞路由器就会丢弃达到最大大小的 TCP 数据段，从而导致错误和文件传输失败。

您可以按照下面的语法使用 Ping 工具来检测 PMTU 黑洞路由器：

Pingdestination –f –lICMPEchoPayloadSize

•	此处的 destination 可以是一个 IP 地址，也可以是一个可解析为 IP 地址的名称。
•	-f 选项可将 DF 标记设置为 1。
•	-l 选项指定 ICMP Echo 消息的有效负载的大小。
•	ICMPEchoPayloadSize 是 ICMP Echo 消息的有效负载的字节数。

要计算 ICMPEchoPayloadSize，可用您想发送的 IP 包的大小减去 28。这是因为，IP 报头的大小为 20 字节，而 ICMP Echo 消息的 ICMP 报头的大小为 8 字节。下图显示了二者的关系。

例如，要发送长度为 1500 字节的 ICMP Echo 消息，您应使用以下命令：

ping destination –f –l 1472

如果有 IP MTU 更小的中间链路，且路由器发送了“ICMP Destination Unreachable-Fragmentation Needed and DF Set”消息，则 Ping 工具会显示“Packet needs to be fragmented but DF set”消息。如果有 IP MTU 更小的中间链路，且 PMTU 黑洞路由器直接丢弃了包，则 Ping 工具会显示“Request timed out”消息。

要找出包含

PMTU 黑洞路由器的

下载天网防火墙规则 FOR 天网3.0个人零售版本

请注意:下载后将RAR后缀改成DAT后缀,这个不是个压缩包,我服务器不支持.dat文件下载,所以我改了下后缀

一个完整清除xp内垃圾的命令！

你有用过Windows内置的清理磁盘功能吗？它并不能完全地清洗Windows内不需要的档案，因为它的功能被隐藏了，本篇将会把它被封印了的功能完全打开。
适用的窗口板本 除了Win95及Win98外，这个方法阶适用于Win98se、Win2000、WinME、WinXP Windows2003
系统本身的「清理磁盘」工具是非常好用的工具，但是单单执行「清理磁盘」并不能完全发挥「清理磁盘」的功能。

现在介绍两个「清理磁盘」工具的指令：
SAGESET 及 SAGERUN

首先在「开始」>「执行」
然后输入：cleanmgr /sageset:99

设定特别模式「清理磁盘」工具会执行，你会发觉多了很多清理选择，选择你想要清理的档案，通常全部都可以删除，完成你的选择后再按「确定」。然后再打开「开始」>「运行」
输入：
cleanmgr /SAGERUN:99 执行(回车)