VPN-愛(ài)快 iKuai-商業(yè)場(chǎng)景網(wǎng)絡(luò)解決方案提供商

28.2 IPSec VPN配置過(guò)程

IPsec VPN 提供了網(wǎng)關(guān)到網(wǎng)關(guān)和遠(yuǎn)程接入的安全服務(wù)功能。并支持隧道模式、傳輸模式兩種封裝模式。身份認(rèn)證支持證書(shū)認(rèn)證、預(yù)共享密鑰。

配置 IPsec VPN 基本過(guò)程如下：

配置 IKE 協(xié)商策略，主要配置對(duì)端地址，認(rèn)證方式，協(xié)商參數(shù)等。
配置 IPsec 協(xié)商策略，主要配置 IPsec 加密算法，封裝模式等。
配置 IPsec 策略，通過(guò)配置 IPsec 策略來(lái)指定需要加密數(shù)據(jù)的網(wǎng)絡(luò)范圍。

28.2.1 配置IKE協(xié)商策略

配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec，點(diǎn)擊

配置本地ＩＰ地址：指定本地用來(lái)協(xié)商的 ip 地址。
配置遠(yuǎn)程網(wǎng)關(guān)：如果對(duì)端指定地址固定可以配置靜態(tài) ip 地址。如果對(duì)端地址不確定可以選擇動(dòng)態(tài)地址。

配置認(rèn)證方式：可選預(yù)共享密鑰或證書(shū)。如果是證書(shū)需要預(yù)先導(dǎo)入證書(shū)。

預(yù)共享密鑰方式需要和 IPSec VPN 對(duì)端一致。

28.2.2 配置IPSEC協(xié)商策略

配置步驟：

在 IKE 協(xié)商上，點(diǎn)擊其對(duì)應(yīng)的按鈕，進(jìn)入新建 IPSEC 協(xié)商

配置 IPSEC 協(xié)商的通道名稱(chēng)
配置 IPSEC 協(xié)商的交互方案。可以選擇 ESP 封裝算法，或 AH 的封裝算法，和 IPSec 對(duì)端要保持一致。另外 Nat 穿越的情況下，不要使用AH 封裝。

配置工作模式。網(wǎng)絡(luò)到網(wǎng)絡(luò)的 IPSec 傳輸使用隧道模式。L2tp 遠(yuǎn)程接入使用傳輸模式。與 IPSec 對(duì)端需要保持一致。

28.2.3 配置IPsec策略

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec 策略，點(diǎn)擊新建

配置源地址、源端口，目的地址、目的端口，協(xié)議號(hào)。源地址是要保護(hù)的本地私網(wǎng)。目的地址是要保護(hù)的對(duì)端私網(wǎng)。

通道選擇上一節(jié) IPSEC 協(xié)商策略配置建立 VPN 隧道。

28.3 IPSec VPN配置參數(shù)

28.3.1 IKE協(xié)商參數(shù)

IKE 策略定義了 IKE 協(xié)商的一組參數(shù)。兩端 VPN 設(shè)備通過(guò) IKE 協(xié)議協(xié)商建立 ISAKMP 安全關(guān)聯(lián)（IPsec 一階段 SA）。

配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec，點(diǎn)擊

網(wǎng)關(guān)名稱(chēng)：IKE 協(xié)商的名稱(chēng)。

本地 IP 地址：本地用來(lái)接受或發(fā)起協(xié)商的地址。

遠(yuǎn)程網(wǎng)關(guān)：

靜態(tài) IP：指定對(duì)端為靜態(tài) IP 方式，會(huì)出現(xiàn) IP 地址選項(xiàng)，需要配置對(duì)端 IP 地址

動(dòng)態(tài) IP: 指定對(duì)端為動(dòng)態(tài) IP

模式：IKE 協(xié)商的協(xié)商模式是野蠻模式還是主模式。

認(rèn)證方式：在協(xié)商過(guò)程中所采用的認(rèn)證方法，可選預(yù)共享密鑰或證書(shū)。

預(yù)共享密鑰：當(dāng)采用預(yù)共享密鑰的認(rèn)證方法時(shí)要輸入的密鑰值。

本地證書(shū)：當(dāng)采用證書(shū)認(rèn)證方法時(shí)要選擇的本地證書(shū)。

IKE 協(xié)商的交互方案：在協(xié)商過(guò)程中所采用加密算法和驗(yàn)證算法。

DH 組：在協(xié)商過(guò)程中做 DH 交換時(shí)采用的 group 值。

密鑰周期：階段 1 的 SA 的生存時(shí)間。

NAT 穿越保持連接的頻率：設(shè)置 NAT 穿越的保活時(shí)間。

本地 ID：設(shè)置本地 ID（可選項(xiàng)）。主要用于 NAT 穿越中已經(jīng)做靜態(tài) NAT 的情況。

對(duì)端 ID：設(shè)置對(duì)端 ID（可選項(xiàng)）。主要用于 NAT 穿越中已經(jīng)做靜態(tài) NAT 的情況。

對(duì)等體狀態(tài)檢測(cè)：是否啟用 DPD 功能。

DPD 穿越保持連接的頻率：設(shè)置對(duì)等體檢測(cè)時(shí)間。

28.3.2 IPSEC協(xié)商參數(shù)

兩端 VPN 設(shè)備通過(guò) IKE 協(xié)議協(xié)商建立 ISAKMP 安全關(guān)聯(lián)后，這些參數(shù)用于協(xié)商建立 IPsec 二階段的安全關(guān)聯(lián)。

配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec，對(duì)應(yīng)于已建立的 IKE 協(xié)商，點(diǎn)擊按鈕，進(jìn)入新建 IPSEC 協(xié)商：

通道名稱(chēng)：IPSEC 協(xié)商的名稱(chēng)

對(duì)端網(wǎng)關(guān)：IKE 協(xié)商的網(wǎng)關(guān)名稱(chēng)

IPSEC 協(xié)商的交互方案：協(xié)商 IPSEC 的封裝方式以及算法

完美向前保密（PFS）：是否需要在 IPSEC 協(xié)商過(guò)程中采用 DH 交換

工作模式：協(xié)商 IPSEC 封裝時(shí)工作方式

超時(shí)時(shí)間：可以以秒數(shù)或者字節(jié)數(shù)決定 IPSEC SA 的生存時(shí)間

28.3.3 IPsec策略

IPSEC 策略定義了 IPSEC 協(xié)商的保護(hù)子網(wǎng)等參數(shù)。配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec 策略，對(duì)應(yīng)于已建立的 IKE 協(xié)商，點(diǎn)擊按鈕，進(jìn)入新建 IPsec 策略：

名稱(chēng)：IPsec 策略的名稱(chēng)

啟用：是否啟用當(dāng)前策略

源地址：需要保護(hù)的本地子網(wǎng)的地址

目的地址：需要保護(hù)的對(duì)端子網(wǎng)的地址

源端口：需要保護(hù)的本地發(fā)出流量的源端口

目的端口：需要保護(hù)的本地發(fā)出流量的目的端口

協(xié)議號(hào)：需要保護(hù)的本地發(fā)出流量的目的協(xié)議號(hào)

通道：保護(hù)當(dāng)前流量的階段二

自動(dòng)連接：啟用后立即主動(dòng)發(fā)起連接

28.4 配置案例

28.4.1 配置案例1：配置IPSEC基本組網(wǎng)

案例描述

假定網(wǎng)絡(luò)環(huán)境如下圖所示，PC 機(jī)到 Server 的流量需要經(jīng)過(guò)各自的 FW 設(shè)備后在 Internet 上傳輸，為了保證流量在 Internet 傳輸過(guò)程中的安全性，有必要在 FW_ A 和 FW_B 之間建立 IPSec 的 VPN 隧道以保障通信安全。