防火墙和路由器配置ipsec的区别
发布网友
发布时间:2022-05-17 14:53
共1个回答
热心网友
时间:2023-10-25 16:35
防火墙不支持show crypto isakmp policy命令,首先要启用ISAKMP策略然后show run crypto。查看管理链接策略配置show run
防火墙默认使用更高的管理链接策略,默认使用加密算法3des,DH组2,设备验证方法为预共享密钥,默认HASH算法以及生存周期为sha-1和86400秒
而路由器可以使用show crypto isakmp policy来查看管理链接策略配置
默认管理链接策略为加密算法des,Dh组1,设备验证方法为RSA签名,默认hash算法sha-1生存周期86400
注意:
当对等体为路由器防火墙混搭时,如果采用默认策略,由于策略不一致,所以无法
连接
另外在数据连接建立的策略配置中,路由器只支持ESP,而路由器默认使用AH是不行的
7.0版隧道组共享密钥特性的引入,不算配置上的差异,而且防火墙仍然支持crypto isakmp key密钥字符串 address 对方对等体ip地址
命令如下:
Tunnel-group200.0.0.1 type ipsec-121
Tunnel-group200.0.0.1 ipsec-attributes
Pre-reshared-keybenet
端口安全级别对VPN的影响:
另外由于安全特性,默认防火墙的流量是不能在同一安全级别的端口间传输的,
如果需要同安全级别的端口通信,需要如下命令
Sam-security-trafficpermit intra-interface多用于与L2L会话的中心设备,比如总公司与多个分公司VPN通信的情况,分公司之间默认不能直接通信
