防火墙和路由器在IPsecvpn上的区别

防火墙和路由器在IPsecvpn上的区别：

防火墙不支持show crypto isakmp policy命令，首先要启用ISAKMP策略然后show run crypto。查看管理链接策略配置show run

防火墙默认使用更高的管理链接策略，默认使用加密算法3des，DH组2，设备验证方法为预共享密钥，默认HASH算法以及生存周期为sha-1和86400秒

而路由器可以使用show crypto isakmp policy来查看管理链接策略配置

默认管理链接策略为加密算法des，Dh组1，设备验证方法为RSA签名，默认hash算法sha-1生存周期86400

注意：

当对等体为路由器防火墙混搭时，如果采用默认策略，由于策略不一致，所以无法

连接

另外在数据连接建立的策略配置中，路由器只支持ESP，而路由器默认使用AH是不行的

7.0版隧道组共享密钥特性的引入，不算配置上的差异，而且防火墙仍然支持crypto isakmp key密钥字符串 address 对方对等体ip地址

命令如下:

Tunnel-group200.0.0.1 type  ipsec-121

Tunnel-group200.0.0.1 ipsec-attributes

Pre-reshared-keybenet

端口安全级别对×××的影响

另外由于安全特性，默认防火墙的流量是不能在同一安全级别的端口间传输的，

如果需要同安全级别的端口通信，需要如下命令

Sam-security-trafficpermit intra-interface多用于与L2L会话的中心设备，比如总公司与多个分公司×××通信的情况，分公司之间默认不能直接通信