1.      路由器到防火墙之间的IPSec ×××

以上笔者做的都是同种设备之间建立IPSec ×××互联,不同类型的设备只要是遵循IPSec ×××的标准一样可以进行互联。如Cisco的路由器和CiscoPIX/ASA防火墙,在配置上与路由器的×××的配置命令大同小异,下面看看实例。一个改制单位配置的是CiscoASA5505的防火墙,需要和总部建立×××连接,下面是在防火墙上具体的配置:

gz(config)# crypto isakmp policy 10                                                         //建立密钥交换的策略,优先级为10

gz(config-isakmp-policy)# encryption 3des                                              //使用3DES的加密算法

gz(config-isakmp-policy)# authentication pre-share                                  //使用预共享密钥验证对等体

gz(config-isakmp-policy)# hash sha                                                          //使用SHA的散列算法

gz(config-isakmp-policy)# group 2                                                           //使用DH协议组2的密钥交换算法

gz(config-isakmp-policy)# exit

gz(config)# crypto isakmp key cjgs*** add 59.175.234.100                           //设置预共享密钥

gz(config)# crypto ipsec transform-set cjgsset esp-3des esp-sha-hmac     //配置IPSec转换集,使用ESP协议,3DES算法加密,SHA算法认证,隧道模式

gz(config)# access-list permit*** permit ip 192.168.6.0 255.255.255.0 172.19.0.0 255.255.0.0                                                                                     //定义感兴趣的流量

gz(config)# crypto map *** 10 ipsec-isakmp                                            //定义加密映射,采用ISAKMP策略自动建立SA,加密映射的名称为×××

gz(config)# crypto map *** 10 match address permit***                          //加密映射匹配的地址

gz(config)# crypto map *** 10 set peer 59.175.234.100                         //定义对端的地址,即总部路由器的公网口的地址

gz(config)# crypto map *** 10 set transform-set cjgsset                                  //引用定义的转换集

gz(config)# crypto map *** interface outside                                            //将加密映射应用到防火墙的外部接口

gz(config)# crypto isakmp enable outside                                                 //在防火墙的外部接口上允许密钥交换的策略

通过以上的配置命令,可以发现这些命令与路由器上的非常类似,只是在写法的格式上稍有不同而已。路由器端的配置和前面的Site to Site×××的配置完全一样,省略。