不同厂家之间的IPSec VPN By Mast 以上这些都是同一品牌的设备,它们之间的互通当然要好实现一些,可是在实际的项目中各个单位并没有都使用Cisco 的设备,那么不同的厂家的设备之间建立IPSec VPN 能够通讯吗?其实只要各个厂家都遵循标准的IPSec 协议,在加上用户对IPSec VPN 理解透彻的话,一样能够实现互通,只不过稍微麻烦一点而已。笔者就在NetScreen 的NS25 防火墙和 Cisco 的ASA5505 防火墙之间就实现了 IPSec VPN 互通。网络拓扑如图四所示: 图 4 ASA5505 防火墙的配置与前面的一样,配置结果如下: ASA(config)# cry pto isakmp policy 10 ASA(config-isakmp-policy )# encry ption 3des ASA(config-isakmp-policy )# au thentication pre-share ASA(config-isakmp-policy )# hash md5 ASA(config-isakmp-policy )# grou p 2 ASA(config-isakmp-policy )# ex it ASA(config)# cry pto isakmp key cjgsv pn add 59.196.234.42 ASA(config)# cry pto ipsec transform-set cjgsset esp-3des esp-md5-hmac ASA(config)# access-list permitv pn permit ip 172.19.30.0 255.255.255.128 192.168.0.0 255.255.255.0 ASA(config)# cry pto map v pn 10 ipsec-isakmp ASA(config)# cry pto map v pn 10 match address permitv pn ASA(config)# cry pto map v pn 10 set peer 59.196.234.42 ASA(config)# cry pto map v pn 10 set transform-set cjgsset ASA(config)# cry pto map v pn interface ou tside ASA(config)# cry pto isakmp enable ou tside 再看看NS25 上的配置。在 NS25 上是采用图形界面完成的IPSec VPN 的配置,具体过程如下: 第一步:在 NS25 上建立两个地址本,分别代表本地的地址和需要访问的地址,其实就是定义感兴趣的流量的地址,总部的地址段定义在 Untru st 区域,改制单位的定义在 Tru st 区域,在左边菜单上依次选择 Objects-〉Addresses-〉List 如图五所示: 图5 总部的地址段 然后再建立改制单位的地址段,如图六所示: 图6 改制单位的地址段 第二步,确定要使用的第一阶段和第二阶段的策略。在 NS25 中已经预定义了第一阶段和第二阶段的各种参数的组合,如图七所示,在菜单中依次选择VPNs-〉Au toKey Adv anced-〉P1 Prosal 图7 阶段一的参...