1、 GRE over IPSEC:ipsec中acl匹配的是tunnle流,源和目的是隧道的源和目的 IPSEC over GRE:acl匹配的就是业务流 2、 GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址 IPSEC over GRE:ike对等体中remote-address地址是对方tunnel接口地址 3、 GRE over IPSEC:ipsec policy应用在本地物理接口上 IPSEC over GRE:ipsec policy应用在本地tunnel接口上 4、 对于IPSEC VPN,若一端公网地址固定,一端公网地址不固定(如通过PPPOE拨号方式),则两端IKE对等体需配置为野蛮模式,且公网地址不固定端需使用remote name和remote addess方式,IPSEC流量触发为有固定公网地址端单向触发; 5、 对于IPSEC VPN的NAT穿越功能,必须IKE对等体配置为野蛮模式,且ipsec的安全提议必须工作在隧道模式(默认),而不能为传输模式; 6、 对于总部多分支机构的情况下做IPSEC VPN,总部端可以通过IPSEC的安全模板来实现,然后在IPSEC的安全策略中调用安全模板,安全模板中可以不定义匹配的安全ACL,此时IPSEC的数据流触发为分支机构端单向触发。 7、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况,在配置完成IPSEC VPN后,一定要触发一下保护的流量(ping命令),若清除sa,顺序应为先reset ipsec sa,然后再reset ike sa
|
|