IPSEC OVER GRE和GRE OVER IPSEC的配置区别及IPSEC的注意事项
2012-05-16 17:06:40 来源:WEB开发网核心提示: 1、 GRE over IPSEC:ipsec中acl匹配的是tunnle流,源和目的是隧道的源和目的IPSEC over GRE:acl匹配的就是业务流2、 GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址IPSEC over GRE:ike对等体中remote-a
1、 GRE over IPSEC:ipsec中acl匹配的是tunnle流,源和目的是隧道的源和目的
IPSEC over GRE:acl匹配的就是业务流
2、 GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址
IPSEC over GRE:ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC:ipsec policy应用在本地物理接口上
IPSEC over GRE:ipsec policy应用在本地tunnel接口上
4、 对于IPSEC VPN,若一端公网地址固定,一端公网地址不固定(如通过PPPOE拨号方式),则两端IKE对等体需配置为野蛮模式,且公网地址不固定端需使用remote name和remote addess方式,IPSEC流量触发为有固定公网地址端单向触发;
5、 对于IPSEC VPN的NAT穿越功能,必须IKE对等体配置为野蛮模式,且ipsec的安全提议必须工作在隧道模式(默认),而不能为传输模式;
6、 对于总部多分支机构的情况下做IPSEC VPN,总部端可以通过IPSEC的安全模板来实现,然后在IPSEC的安全策略中调用安全模板,安全模板中可以不定义匹配的安全ACL,此时IPSEC的数据流触发为分支机构端单向触发。
7、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况,在配置完成IPSEC VPN后,一定要触发一下保护的流量(ping命令),若清除sa,顺序应为先reset ipsec sa,然后再reset ike sa
赞助商链接