一、做IPSEC ***需要解决的相关路由问题:
(1) 对于内部通信设备(实际通信的设备)
1) 解决去往远端通信设备的路由。
(2) 对于加密设备(实际加密数据的设备)
2) 解决去往本地通信设备的路由
3) 解决去往远端通信设备的路由
4) 解决去往远端加密设备的路由
(3) 对于互联网设备
解决去往两边加密设备的路由
二、影响IPSEC ***的网络问题
(1)动态地址问题
1)问题:一方固定IP地址,另一方动态获取IP地址
解决:用动态 crypto map技术解决。
2)问题:两边都是动态获取IP地址
解决:用DDNS技术解决。
(2)加密设备NAT对IPSEC ***的影响
问题:加密设备既对感兴趣流加密,又做NAT转换。
解决:把IPSEC ***感兴趣流从访问控制列表中排除掉。
(3)中间网络ASA防火墙对IPSEC ***的影响
问题:防火墙会对通过的流量进行过滤。
解决:在ASA上做访问控制列表房型ESP流量
(4) 中间网络PAT对IPSEC ***的影响
问题:PAT不仅会装换源IP地址,还要转换传输层端口号,ESP是三层技术,没有传输层的端口号,无法使用PAT对其进行转换。
解决:启用NAT-T(NAT-Traversal)技术