常接觸思科設(shè)備的都知道，目前使用IPsec協(xié)議建立的×××站點(diǎn)都是無(wú)法使用路由的，要么采用GRE技術(shù)，GRE over IPsec可以實(shí)現(xiàn)路由，不過(guò)那樣配置復(fù)雜不說(shuō)，由于2次封裝，每個(gè)數(shù)據(jù)包的有效載荷小了很多，效率性就不好了。也只能說(shuō)目前，看ASA的進(jìn)化方向，沒準(zhǔn)不知道什么時(shí)候就導(dǎo)入了。 而且目前采用策略模式的是大部分廠家的設(shè)備，cisco就不必說(shuō)了，比如微軟的ISA、SonicWall、D-link等；我目前發(fā)現(xiàn)支持路由模式的就只有兩家，juniper的SSG和fortigate，要說(shuō)起這兩個(gè)產(chǎn)品其實(shí)從根上說(shuō)是一家，就是原來(lái)的netscreen，后來(lái)理念不同，分家的。在fortigate里是叫接口模式，也的確是用的接口路由的。 我以netscreen的5gt，5.4.0r11.0版本為例說(shuō)明一下，即便是目前的SSG的6.4版，從配置方法上說(shuō)也差不多，最多是選擇項(xiàng)目多了，位置稍微發(fā)生了些變化。 先說(shuō)一下圖形界面 打開左側(cè)的×××s》AutoKey Advanced》Gateway點(diǎn)擊new按鈕。 出現(xiàn)以下畫面 Gateway Name只是為了好記憶和分辨，可以根據(jù)自己情況設(shè)定，沒要求。 Security Level選Standard，這是netscreen的標(biāo)準(zhǔn)配置，是設(shè)置ike協(xié)商階段的加密方式的。如果對(duì)端也是netscreen活著ssg選standard最方便，不過(guò)如果有特殊加密要求，可以自行選擇更搞級(jí)別的。 Remote Gateway Type選固定IP，Static IP Address，后面的欄目填上對(duì)方的公網(wǎng)IP地址。 Preshared Key是共享密鑰，這個(gè)雙方必須完全一致。 Local ID有其它用處，以后在其它案例會(huì)使用到，這里就不填了。 Outgoing Interface這個(gè)必須選擇接續(xù)外網(wǎng)的接口，這就是綁定接口，這才asa里面體現(xiàn)不出來(lái)。一定要仔細(xì)選擇，錯(cuò)了就接不通了，因?yàn)樗哪J(rèn)配置往往是不對(duì)的。 然后點(diǎn)擊Advanced高級(jí)，確認(rèn)一下。 Mode選Main，在固定IP配置中，基本上都選用主模式，安全性比Aggressive好。 Enable NAT-Traversal是用來(lái)配置NAT穿越的，雙方都是公網(wǎng)地址就不必選。 Peer Status Detection是用來(lái)檢測(cè)對(duì)方的死活的，我們這里不選，在后面的地方進(jìn)行更高級(jí)別的監(jiān)視。 Preferred Certificate是啟用數(shù)字證書進(jìn)行ike協(xié)商的，我們不用這個(gè)方法，主要是配置起來(lái)很麻煩。 Use Distinguished Name for Peer ID也不必配了，太麻煩。 這是ike的第一階段配置完成。 這部分其實(shí)和其它廠家的大體類似，但下面路由模式的關(guān)鍵就體現(xiàn)出來(lái)了。 有一個(gè)zone的概念，就是一個(gè)安全區(qū)域，下面我們做一個(gè)×××專用的zone，其實(shí)不用zone也是可以的，不過(guò)有些復(fù)雜的安全運(yùn)用都需要牽扯的zone，所以做了更好。 Network > Zones點(diǎn)擊new Zone Name就寫×××吧，容易記憶 Virtual Router Name選信任虛擬路由器trust-vr，如果選不信任虛擬路由器那做起來(lái)就復(fù)雜很多。 Block Intra-Zone Traffic當(dāng)然不選，你想想都是跑的私有IP，怎么能選 If TCP non SYN, send RESET back和TCP/IP Reassembly for ALG斗不選，安全級(jí)別太高，你以后用起來(lái)就麻煩無(wú)窮。 Asymmetric ×××選上，如果有多個(gè)隧道，并有冗余的時(shí)候，這個(gè)選上就很重要了。 然后打開Network > Interfaces 點(diǎn)擊new Tunnel Interface Name沒特別要求，記住你選的1還是2或者3。 Zone當(dāng)然就選剛才做的×××的Zone了 下面是2選一，這里也有不同的用法，我們這里選Unnumbered，并且掛在內(nèi)網(wǎng)接口上。這也是有講究的，和其它用法有關(guān)。 其它的就默認(rèn)吧。 記住剛才做好的tunnel是幾號(hào)，進(jìn)入IPsec的第二階段。 打開×××s > AutoKey IKE點(diǎn)擊new ××× Name也是自己決定，方便自己記憶就好 Security Level也選Standard吧 Remote Gateway選我們剛才做的，什么沒記住，去×××s > AutoKey Advanced > Gateway查 點(diǎn)擊下面的高級(jí)Advanced 其它都默認(rèn)，不默認(rèn)的有幾處 Bind to選Tunnel Interface，就是我們剛才做的tunnel幾號(hào)，忘了，去看大夫吧。 ××× Monitor要選上，這就是前面不讓選的Peer Status Detection的原因，這里直接監(jiān)視第二階段的情況，而且直接反應(yīng)到接口上，成為×××的隧道冗余設(shè)計(jì)成為可能，看看還有很多復(fù)雜的運(yùn)用呢。 好了，×××部分是完了，都說(shuō)路由模式，下面就是路由了。 打開Network?>?Routing?>?Routing?Entries點(diǎn)擊new IP Address/Netmask是對(duì)方的地址范圍 Next Hop選Gateway? Interface選剛才做的tunnel幾號(hào)，其它默認(rèn)就可以了。 這樣就結(jié)束了？那安全策略沒有怎么能通呢？ 打開Policies選擇From是本地Trust，To是×××后點(diǎn)擊new，這里體現(xiàn)了Zone的運(yùn)用。 Source Address是本地地址，Destination Address是對(duì)方地址，選any和any可以嗎？可以，這和思科設(shè)備可不一樣了，因?yàn)檫@里不是策略模式的×××，第二階段加密綁定策略，我們這里是分離的，所以不影響，當(dāng)然測(cè)試的時(shí)候可以，實(shí)際運(yùn)用還是要配置的。那么如果第二階段加密要綁定雙方的IP地址范圍的話，在什么地方？×××s > AutoKey IKE > Edit的Proxy-ID就是，如果和思科的機(jī)器對(duì)接這里可是關(guān)鍵哦。這可是策略模式的根本特征哦，今天主要說(shuō)的是路由模式，策略模式案例多了，這里只是說(shuō)明一下區(qū)別所在。好了，搞了這么多，終于說(shuō)完了。

轉(zhuǎn)載于:https://blog.51cto.com/xushen/683305

總結(jié)

以上是生活随笔為你收集整理的×××站点的路由（隧道、接口）模式和策略模式的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。