1. 路由器到防火牆之間的IPSec ***
以上筆者做的都是同種設備之間建立IPSec ***互聯,不同類型的設備只要是遵循IPSec ***的標準一樣可以進行互聯。如Cisco的路由器和Cisco的PIX/ASA防火牆,在配置上與路由器的***的配置命令大同小異,下面看看實例。一個改制單位配置的是Cisco的ASA5505的防火牆,需要和總部建立***連接,下面是在防火牆上具體的配置:
gz(config)# crypto isakmp policy 10 //建立密鑰交換的策略,優先級爲10
gz(config-isakmp-policy)# encryption 3des //使用3DES的加密算法
gz(config-isakmp-policy)# authentication pre-share //使用預共享密鑰驗證對等體
gz(config-isakmp-policy)# hash sha //使用SHA的散列算法
gz(config-isakmp-policy)# group 2 //使用DH協議組2的密鑰交換算法
gz(config-isakmp-policy)# exit
gz(config)# crypto isakmp key cjgs*** add 59.175.234.100 //設置預共享密鑰
gz(config)# crypto ipsec transform-set cjgsset esp-3des esp-sha-hmac //配置IPSec轉換集,使用ESP協議,3DES算法加密,SHA算法認證,隧道模式
gz(config)# access-list permit*** permit ip 192.168.6.0 255.255.255.0 172.19.0.0 255.255.0.0 //定義感興趣的流量
gz(config)# crypto map *** 10 ipsec-isakmp //定義加密映射,採用ISAKMP策略自動建立SA,加密映射的名稱爲***
gz(config)# crypto map *** 10 match address permit*** //加密映射匹配的地址
gz(config)# crypto map *** 10 set peer 59.175.234.100 //定義對端的地址,即總部路由器的公網口的地址
gz(config)# crypto map *** 10 set transform-set cjgsset //引用定義的轉換集
gz(config)# crypto map *** interface outside //將加密映射應用到防火牆的外部接口
gz(config)# crypto isakmp enable outside //在防火牆的外部接口上允許密鑰交換的策略
通過以上的配置命令,可以發現這些命令與路由器上的非常類似,只是在寫法的格式上稍有不同而已。路由器端的配置和前面的Site to Site的***的配置完全一樣,省略。