IPSec ***一些要注意的小問題,IPSec ***協議層面是非常複雜的,有很多RFC構成。之前做方案和配置都是標準配置,導致對有些問題理解不全面。
IPSec *** RFC 協議族在site-to-site模式下對保護子網的要求:
1. 標準配置情況下,兩個*** peer的保護子網和遠程訪問子網要一致。
----net-a------*** GW 1 ---------ipsec tunnel-------*** GW 2--------net-b----
*** GW1上配置的保護子網部分net-a和*** GW2上配置的遠程訪問子網要一致,反之一樣。
2. 我們知道site-to-site的情況下,存在ipsec ***發起端的概念。根據RFC協議,如果發起端的保護子網和遠程訪問子網能夠被對端配置的遠程訪問子網和保護子網所包含,那麼ipsec *** tunnel是能夠協商成功並建立起來的。
這裏的包含概念,只是針對一個網段而言的。比如發起端的本地子網爲192.3.0.0/24,遠程訪問子網爲192.3.21.0/24,對端的本地子網爲192.3.20.0/22,遠程訪問子網爲192.3.0.0/22,那麼這個ipsec *** tunnel是可以建立起來的。
當然,上面談的都只是IPSec ***的RFC的規定,然而實際中不同廠商有可能會有不同的實現。
所以,最好我們還是按標準配置來做方案。
對於很多遠程ipsec撥入的情況,這個時候保護子網和遠程訪問子網在ipsec協商的時候用的是any和any,實際能訪問的網段往往都是由廠商設計的其他模塊完成的。
!! 不好意思。。以上說的不是很對。。重新查了rfc,rfc中並沒有規定在保護子網不匹配的情況下,如何來協商建立tunnel,只是提到了使用交叉重疊的網絡部分,所以以上的限制並不存在,還是得根據不同廠商的設備區別分析。