本文介绍了Cisco ASA和PIX设备中ISAKMP/IKE阶段1管理连接的配置过程,重点讲述了如何允许IPSec流量通过不同的安全级别,包括使用访问控制列表(ACL)和ACL旁路的方法。
Cisco *** 完全配置指南-连载-PIX和ASA站点到站点的连接
在2005年4月,思科为PIX安全设备介绍了一个新版本的精密操作系统(FOS),称为7.0,当前这个版本只在515/515E PIX和更高端的设备上支持,同样的,在2005年5月,思科介绍了新的适配器安全设备(ASA),它支持在一台设备中所有的PIX、***集中器、路由器和IDS的特性。501和506/506E的PIX只支持FOS6.3的软件。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
一、ISAKMP/IKE阶段1管理连接
1、允许IPSec的流量
在ASA/PIX设备上,不同于路由器上,在这里配置的第一个任务是允许IPSec会话的流量进行到ASA/PIX。因为在安全设备上,接口被分配安全级别,并基于安全级别的配置,默认情况下,流量是不允许从低安全级别向高安全级别流动的,在许多情况下,IPSec会话的流量将终止在设备的外部接口上,从FOS的角度来看,是最不安全的接口。
可以使用两种方法允许***流量从一个不安全的接口进入或穿越ASA/PIX的更安全的接口。
Ø 访问控制列表
Ø ACL旁路
(1)使用ACL允许IPSec的流量
详细内容见附件
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
