防火牆和路由器在IPsec***上的區別:
防火牆不支持show crypto isakmp policy命令,首先要啓用ISAKMP策略然後show run crypto。查看管理鏈接策略配置show run
防火牆默認使用更高的管理鏈接策略,默認使用加密算法3des,DH組2,設備驗證方法爲預共享密鑰,默認HASH算法以及生存週期爲sha-1和86400秒
而路由器可以使用show crypto isakmp policy來查看管理鏈接策略配置
默認管理鏈接策略爲加密算法des,Dh組1,設備驗證方法爲RSA簽名,默認hash算法sha-1生存週期86400
注意:
當對等體爲路由器防火牆混搭時,如果採用默認策略,由於策略不一致,所以無法
連接
另外在數據連接建立的策略配置中,路由器只支持ESP,而路由器默認使用AH是不行的
7.0版隧道組共享密鑰特性的引入,不算配置上的差異,而且防火牆仍然支持crypto isakmp key密鑰字符串 address 對方對等體ip地址
命令如下:
Tunnel-group200.0.0.1 type ipsec-121
Tunnel-group200.0.0.1 ipsec-attributes
Pre-reshared-keybenet
端口安全級別對***的影響
另外由於安全特性,默認防火牆的流量是不能在同一安全級別的端口間傳輸的,
如果需要同安全級別的端口通信,需要如下命令
Sam-security-trafficpermit intra-interface多用於與L2L會話的中心設備,比如總公司與多個分公司***通信的情況,分公司之間默認不能直接通信