如何区分防火墙、路由器在IPsecvpn上的区别

作者:市场部        文章来源:HuoRo.Com        更新时间:2013-08-20 15:59:34
关键字: VPN

防火墙和路由器在IPsecvpn上的区别:

防火墙不支持show crypto isakmp policy命令,首先要启用ISAKMP策略然后show run crypto。查看管理链接策略配置show run

防火墙默认使用更高的管理链接策略,默认使用加密算法3des,DH组2,设备验证方法为预共享密钥,默认HASH算法以及生存周期为sha-1和86400秒

 

而路由器可以使用show crypto isakmp policy来查看管理链接策略配置

默认管理链接策略为加密算法des,Dh组1,设备验证方法为RSA签名,默认hash算法sha-1生存周期86400

 

注意:

当对等体为路由器防火墙混搭时,如果采用默认策略,由于策略不一致,所以无法

连接

另外在数据连接建立的策略配置中,路由器只支持ESP,而路由器默认使用AH是不行的

7.0版隧道组共享密钥特性的引入,不算配置上的差异,而且防火墙仍然支持crypto isakmp key密钥字符串 address 对方对等体ip地址

命令如下:

Tunnel-group200.0.0.1 type  ipsec-121

Tunnel-group200.0.0.1 ipsec-attributes

Pre-reshared-keybenet

 

端口安全级别对VPN的影响

另外由于安全特性,默认防火墙的流量是不能在同一安全级别的端口间传输的,

如果需要同安全级别的端口通信,需要如下命令

Sam-security-trafficpermit intra-interface多用于与L2L会话的中心设备,比如总公司与多个分公司VPN通信的情况,分公司之间默认不能直接通信