常接觸思科設備的都知道，目前使用IPsec協議建立的×××站點都是無法使用路由的，要么采用GRE技術，GRE over IPsec可以實現路由，不過那樣配置復雜不說，由于2次封裝，每個數據包的有效載荷小了很多，效率性就不好了。也只能說目前，看ASA的進化方向，沒準不知道什么時候就導入了。 而且目前采用策略模式的是大部分廠家的設備，cisco就不必說了，比如微軟的ISA、SonicWall、D-link等；我目前發現支持路由模式的就只有兩家，juniper的SSG和fortigate，要說起這兩個產品其實從根上說是一家，就是原來的netscreen，后來理念不同，分家的。在fortigate里是叫接口模式，也的確是用的接口路由的。 我以netscreen的5gt，5.4.0r11.0版本為例說明一下，即便是目前的SSG的6.4版，從配置方法上說也差不多，最多是選擇項目多了，位置稍微發生了些變化。 先說一下圖形界面 打開左側的×××s》AutoKey Advanced》Gateway點擊new按鈕。 出現以下畫面 Gateway Name只是為了好記憶和分辨，可以根據自己情況設定，沒要求。 Security Level選Standard，這是netscreen的標準配置，是設置ike協商階段的加密方式的。如果對端也是netscreen活著ssg選standard最方便，不過如果有特殊加密要求，可以自行選擇更搞級別的。 Remote Gateway Type選固定IP，Static IP Address，后面的欄目填上對方的公網IP地址。 Preshared Key是共享密鑰，這個雙方必須完全一致。 Local ID有其它用處，以后在其它案例會使用到，這里就不填了。 Outgoing Interface這個必須選擇接續外網的接口，這就是綁定接口，這才asa里面體現不出來。一定要仔細選擇，錯了就接不通了，因為它的默認配置往往是不對的。 然后點擊Advanced高級，確認一下。 Mode選Main，在固定IP配置中，基本上都選用主模式，安全性比Aggressive好。 Enable NAT-Traversal是用來配置NAT穿越的，雙方都是公網地址就不必選。 Peer Status Detection是用來檢測對方的死活的，我們這里不選，在后面的地方進行更高級別的監視。 Preferred Certificate是啟用數字證書進行ike協商的，我們不用這個方法，主要是配置起來很麻煩。 Use Distinguished Name for Peer ID也不必配了，太麻煩。 這是ike的第一階段配置完成。 這部分其實和其它廠家的大體類似，但下面路由模式的關鍵就體現出來了。 有一個zone的概念，就是一個安全區域，下面我們做一個×××專用的zone，其實不用zone也是可以的，不過有些復雜的安全運用都需要牽扯的zone，所以做了更好。 Network > Zones點擊new Zone Name就寫×××吧，容易記憶 Virtual Router Name選信任虛擬路由器trust-vr，如果選不信任虛擬路由器那做起來就復雜很多。 Block Intra-Zone Traffic當然不選，你想想都是跑的私有IP，怎么能選 If TCP non SYN, send RESET back和TCP/IP Reassembly for ALG斗不選，安全級別太高，你以后用起來就麻煩無窮。 Asymmetric ×××選上，如果有多個隧道，并有冗余的時候，這個選上就很重要了。 然后打開Network > Interfaces 點擊new Tunnel Interface Name沒特別要求，記住你選的1還是2或者3。 Zone當然就選剛才做的×××的Zone了 下面是2選一，這里也有不同的用法，我們這里選Unnumbered，并且掛在內網接口上。這也是有講究的，和其它用法有關。 其它的就默認吧。 記住剛才做好的tunnel是幾號，進入IPsec的第二階段。 打開×××s > AutoKey IKE點擊new ××× Name也是自己決定，方便自己記憶就好 Security Level也選Standard吧 Remote Gateway選我們剛才做的，什么沒記住，去×××s > AutoKey Advanced > Gateway查 點擊下面的高級Advanced 其它都默認，不默認的有幾處 Bind to選Tunnel Interface，就是我們剛才做的tunnel幾號，忘了，去看大夫吧。 ××× Monitor要選上，這就是前面不讓選的Peer Status Detection的原因，這里直接監視第二階段的情況，而且直接反應到接口上，成為×××的隧道冗余設計成為可能，看看還有很多復雜的運用呢。 好了，×××部分是完了，都說路由模式，下面就是路由了。 打開Network?>?Routing?>?Routing?Entries點擊new IP Address/Netmask是對方的地址范圍 Next Hop選Gateway? Interface選剛才做的tunnel幾號，其它默認就可以了。 這樣就結束了？那安全策略沒有怎么能通呢？ 打開Policies選擇From是本地Trust，To是×××后點擊new，這里體現了Zone的運用。 Source Address是本地地址，Destination Address是對方地址，選any和any可以嗎？可以，這和思科設備可不一樣了，因為這里不是策略模式的×××，第二階段加密綁定策略，我們這里是分離的，所以不影響，當然測試的時候可以，實際運用還是要配置的。那么如果第二階段加密要綁定雙方的IP地址范圍的話，在什么地方？×××s > AutoKey IKE > Edit的Proxy-ID就是，如果和思科的機器對接這里可是關鍵哦。這可是策略模式的根本特征哦，今天主要說的是路由模式，策略模式案例多了，這里只是說明一下區別所在。好了，搞了這么多，終于說完了。

轉載于:https://blog.51cto.com/xushen/683305

總結

以上是生活随笔為你收集整理的×××站点的路由（隧道、接口）模式和策略模式的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。