一、做IPSEC ×××需要解决的相关路由问题:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
(1)
对于内部通信设备(实际通信的设备)
1)
解决去往远端通信设备的路由。
(2)
对于加密设备(实际加密数据的设备)
2)
解决去往本地通信设备的路由
3)
解决去往远端通信设备的路由
4)
解决去往远端加密设备的路由
(3)
对于互联网设备
解决去往两边加密设备的路由
二、影响IPSEC ×××的网络问题
(1)动态地址问题
1)问题:一方固定IP地址,另一方动态获取IP地址
解决:用动态 crypto map技术解决。
2)问题:两边都是动态获取IP地址
解决:用DDNS技术解决。
(2)加密设备NAT对IPSEC ×××的影响
问题:加密设备既对感兴趣流加密,又做NAT转换。
解决:把IPSEC ×××感兴趣流从访问控制列表中排除掉。
(3)中间网络ASA防火墙对IPSEC ×××的影响
问题:防火墙会对通过的流量进行过滤。
解决:在ASA上做访问控制列表房型ESP流量
(4)
中间网络PAT对IPSEC ×××的影响
问题:PAT不仅会装换源IP地址,还要转换传输层端口号,ESP是三层技术,没有传输层的端口号,无法使用PAT对其进行转换。
解决:启用NAT-T(NAT-Traversal)技术
转载于:https://blog.51cto.com/bboyeleven/932355