扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
你甚至可以在一端使用更便宜的动态IP ADSL或有线cable服务,而另一端使用一个静态IP地址,不过这种情形我们将在以后的文章中再进行具体讨论。
所需软硬件
所有Cisco的路由器,从800到7600系列都有正确的软件包支持IPSec。如果你有一个老式1700, 2600, 3600, 或7200的Cisco路由器IPSec许可,你可以继续使用它。不过,那些路由器已经快到失效期,你每年将不得不为2600以及其他上述老路由器的合同支付大量费用,与其花这些钱其实还不如考虑购买一台新的1841,不但有全新的功能,价格也不贵。
新式1841路由器实际比旧式3600系列路由器有更快的IPSec吞吐量,而费用比旧式3600路由器一年的Cisco SmartNet支持费用来说还要便宜。如果你选用更新,更小,更便宜的路由器,还能节省下更多的金钱。如果你不得不为旧式路由器购买IOS升级,我建议你忘掉这个想法——买台全新路由器还要更便宜些。
使用Cisco的老式IOS包,你不得不自行选择需要的功能集。新包装已经被简化了。任何具有高级安全功能集及以上的,都具有IPSec VPN和IOS防火墙能力。绝大多数更新更小的路由器,比如1800和2800系列路由器,都携带有一个最小化高级安全功能集,所以你的机器从盒子里拿出来就已经是万事俱备了。
IPSec如何在Cisco路由器上工作
图A给出了一个IPSec在Cisco路由器上工作的简化视图。两台路由器建立了一个虚拟的IPSec信道,彼此之间使用公用的运算规则和参数。红色通信表示是直接穿越路由器去往Internet的,而不通过VPN信道。绿色通信则表示是经由IPSec VPN信道,从一个网站传往另一个网站的通讯。
了解这个流程图很重要,可以知道数据从哪里进入路由器,并进行默认网关路由后,进入外部接口。一旦数据到达外部接口,它会检查源,目标,以及该通讯的服务,以确认它是否需要进入crypto map。在图A中的crypto map使用一个拓展ACL,叫做“Crypto-list(加密到列表)”。你可以看到这个拓展ACL在我们的IPSec模版中被使用。
适合Cisco IOS的IPSec模版
要开始我们的IPSec模版,你需要从这里下载(http://downloads.techrepublic.com.com/abstract.aspx?docid=265619)。下载了Excel文件后,你需要把变量表中的黄色区域填好。点“替换(Replace)”按钮,它会在一个名为“IPSEC-1”的新表中生成适当的IPSec配置。完成后,你只需要从Excel中拷贝并粘贴到Cisco CLI(命令行接口)中即可。你可以直接从Excel中拷贝到一个Telnet或SSH会话中,甚至是拷贝到控制台端口中。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。