IPsec-VPN总结

配置IPsec-VPN的步骤：
•定义感兴趣的流量，需要保护的流量流经路由器，触发路由器启动相关的协商过程。

•启动IKE (Internet key exchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。

（源认证，确认双方的身份）
•启动IKE阶段2，在上述安全通道上协商IPSec参数。

（源认证，对传输的数据进行加密）
•按协商好的IPSec参数对数据流进行加密、hash等保护。

•定义CRYPTO MAP用来对感兴趣流量，调用转换集
•调用MAP
•协商建立IKE安全通道所使用的参数，包括：
加密算法产生一个密钥（对称加密密钥）
Hash算法对密钥进行加密
DH算法一种密钥安全交换算法
身份认证方法
存活时间
•双方协商IPSec安全参数，称为变换集transform set，包括：加密算法
Hash算法
安全协议
封装模式
存活时间
Crypto map的主要配置参数
需要IPSec保护的流量的ACL
VPN对端的IP地址
使用的IPSec变换集
协商建立IPSec SA的方式(手工或通过IKE)
IPSec SA的存活期。