FAQ-IPSec使用ACL定义保护流量时有何要求

发布时间:  2014-09-19 浏览次数:  92 下载次数:  0
问题描述
IPSec使用ACL定义保护流量时有何要求?
解决方案
IPSec使用ACL定义保护流量时有如下要求:
 只能包含带有permit关键字的规则(rule),即对匹配permit动作的数据流进行保护。不能包含带有deny关键字的规则。
 只能根据源/目的IP地址、源/目的端口、协议号和DSCP字段来匹配数据流。源/目的端口只对TCP和UDP协议有效。
 配置源/目的端口号只能通过eq参数指定具体端口号,不能使用lt、gt、range、port-set参数指定端口号范围。
 规则中不能引用地址集或端口集。
 采用IKEv2进行协商时,同一IPSec策略组中所有被引用ACL的规则之间不能存在交集。
 建议配置精确的ACL:只配置一条规则,对需要保护的数据流配置permit,避免使用关键字any。
 建议将本端和对端的ACL配置成互为镜像,即一端ACL规则的源地址和目的地址分别为另一端ACL规则的目的地址和源地址。

END