IPSEC配置方法

VPN配置简单说明书

一、IKE协商的阶段简单描述：

IKE协商可以和TCP的三次握手来类比，只不过IKE协商要比TCP的三次握手要复杂一些，IKE协商采用的UDP报文格式，默认端口是500，在主模式下，一个正常的IKE协商过程需要经过9个报文的来回，才最终建立起通信双方所需要的IPSec SA，然后双方利用该SA就可以对数据流进行加密和解密。下面结合简单描述一下协商的过程。

假设A和B进行通信，A作为发起方，A发送的第一个报文内容是本地所支持的IKE的策略（即下面所提到的Policy），该policy的内容有加密算法、hash算法、D-H组、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式，目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中，一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略，对端只要有一个与其相同，对端就可以采用该policy，并在第二个报文中将该policy发送回来，表明采用该policy为后续的通信进行保护。第三和第四个报文是进行D-H交换的D-H公开值，这与具体的配置影响不大。在完成上面四个报文交换后，利用D-H算法，A和B就可以协商出一个公共的秘密，后续的密钥都是从该秘密衍生出来的。第五和第六个报文是身份验证过程，前面已经提高后，有两种身份验证方式——预共享和数字证书，在这里，A将其身份信息和一些其他信息发送给B，B接受到后，对A的身份进行验证，同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候，需要配置预共享密钥，标识身份有两种方式，其一是IP地址，其二是主机名（hostname）。在一般的配置中，可以选用IP地址来标识身份。完成前面六个报文交换的过程，就是完成IKE第一阶段的协商过程。如果打开调试信息，会看到IKE SA Establish（IKE SA 已经建立），也称作主模式已经完成。

IKE的第二阶段是快速模式协商的过程。该模式中的三个报文主要是协商IPSec SA，利用第一阶段所协商出来的公共的秘密，可以为该三个报文进行加密。在配置中，主要涉及到数据流、变换集合以及对完美前向保护（PFS）的支持。在很多时候，会发现IKE SA已经建立成功，但是IPSec SA无法建立起来，这时最有可能的原因是数据流是否匹配（A所要保护的数据流是否和B所保护的数据流相对应）、变换集合是否一致以及pfs配置是否一致。

二、IKE、IPSec配置基本步骤

1．配置IKE 策略（policy）

policy就是上图中的IKE策略。Policy里面的内容有hash算法、加密算法、D-H组、生存时间。可以配置多个policy，只要对端有一个相同的，双方就可以采用该policy，不过要主要policy中的认证方式，因为认证方式的不同会影响后续的配置不同。一般采用预共享（preshare）。在目前的安全路由器和VPN3020上的实现上都有默认的配置选项，也就是说如果你新增加一条策略后，即使什么都不配置，退出后，也会有默认值的。

2．配置预共享密钥（preshare）

在配置预共享密钥的时候，需要选择是IP地址还是Hostname来标识该密钥，如果对端是IP地址标识身份，就采用IP地址来标识密钥；如果对端是Hostname来标识身份，则采用hostname来标识密钥。

3．配置本端标识（localid）

本端标识有IP地址和Hostname，在安全路由器上，默认的是用IP地址来标识。即不配置本端标识，就表示是用IP地址来标识。

以上三个步骤就完成IKE的配置，以下是IPSec的配置：

4．配置数据流（access-list）

很容易理解，部署任何VPN都需要对数据流所限制，不可能对所有的数据流都进行加密（any to any）。配置好数据流后，在加密映射（map）中引用该数据流。

5．配置变换集合（transform-set）

变换集合是某个对等方能接受的一组IPSec协议和密码学算法。双方只要一致即可。注意，在VPN3020和带加密模块的安全路由器上支持国密办的SSP02算法。

6．配置加密映射（map）

为IPSec创建的加密映射条目使得用于建立IPSec安全联盟的各个部件协调工作，它包括以下部分：所要保护的数据流（引用步骤4所配置的数据流）

对端的IP地址（这个是必须的，除非是动态加密映射，见本文后面的章节）

对所要保护的数据流采用什么加密算法和采用什么安全协议（引用步骤5所配置的变换集合）

是否需要支持PFS（双方要一致）

lSA的生存时间（是可选的，不配置的话有默认值）

7．应用（激活）加密映射