一、做IPSEC ***需要解決的相關路由問題:
(1) 對於內部通信設備(實際通信的設備)
1) 解決去往遠端通信設備的路由。
(2) 對於加密設備(實際加密數據的設備)
2) 解決去往本地通信設備的路由
3) 解決去往遠端通信設備的路由
4) 解決去往遠端加密設備的路由
(3) 對於互聯網設備
解決去往兩邊加密設備的路由
二、影響IPSEC ***的網絡問題
(1)動態地址問題
1)問題:一方固定IP地址,另一方動態獲取IP地址
解決:用動態 crypto map技術解決。
2)問題:兩邊都是動態獲取IP地址
解決:用DDNS技術解決。
(2)加密設備NAT對IPSEC ***的影響
問題:加密設備既對感興趣流加密,又做NAT轉換。
解決:把IPSEC ***感興趣流從訪問控制列表中排除掉。
(3)中間網絡ASA防火牆對IPSEC ***的影響
問題:防火牆會對通過的流量進行過濾。
解決:在ASA上做訪問控制列表房型ESP流量
(4) 中間網絡PAT對IPSEC ***的影響
問題:PAT不僅會裝換源IP地址,還要轉換傳輸層端口號,ESP是三層技術,沒有傳輸層的端口號,無法使用PAT對其進行轉換。
解決:啓用NAT-T(NAT-Traversal)技術