IPSec ×××一些要注意的小问题,IPSec ×××协议层面是非常复杂的,有很多RFC构成。之前做方案和配置都是标准配置,导致对有些问题理解不全面。
 
IPSec ××× RFC 协议族在site-to-site模式下对保护子网的要求:
1. 标准配置情况下,两个××× peer的保护子网和远程访问子网要一致。
 
----net-a------××× GW 1 ---------ipsec tunnel-------××× GW 2--------net-b----
 
××× GW1上配置的保护子网部分net-a和××× GW2上配置的远程访问子网要一致,反之一样。
 
2. 我们知道site-to-site的情况下,存在ipsec ***发起端的概念。根据RFC协议,如果发起端的保护子网和远程访问子网能够被对端配置的远程访问子网和保护子网所包含,那么ipsec *** tunnel是能够协商成功并建立起来的。
 
这里的包含概念,只是针对一个网段而言的。比如发起端的本地子网为192.3.0.0/24,远程访问子网为192.3.21.0/24,对端的本地子网为192.3.20.0/22,远程访问子网为192.3.0.0/22,那么这个ipsec *** tunnel是可以建立起来的。
 
 
当然,上面谈的都只是IPSec ×××的RFC的规定,然而实际中不同厂商有可能会有不同的实现。
 
所以,最好我们还是按标准配置来做方案。
 
对于很多远程ipsec拨入的情况,这个时候保护子网和远程访问子网在ipsec协商的时候用的是any和any,实际能访问的网段往往都是由厂商设计的其他模块完成的。
 
 
!! 不好意思。。以上说的不是很对。。重新查了rfc,rfc中并没有规定在保护子网不匹配的情况下,如何来协商建立tunnel,只是提到了使用交叉重叠的网络部分,所以以上的限制并不存在,还是得根据不同厂商的设备区别分析。