IPSce-愛快 iKuai-商業(yè)場景網(wǎng)絡(luò)解決方案提供商

28.2 IPSec VPN配置過程

IPsec VPN 提供了網(wǎng)關(guān)到網(wǎng)關(guān)和遠(yuǎn)程接入的安全服務(wù)功能。并支持隧道模式、傳輸模式兩種封裝模式。身份認(rèn)證支持證書認(rèn)證、預(yù)共享密鑰。

配置 IPsec VPN 基本過程如下：

配置 IKE 協(xié)商策略，主要配置對端地址，認(rèn)證方式，協(xié)商參數(shù)等。
配置 IPsec 協(xié)商策略，主要配置 IPsec 加密算法，封裝模式等。
配置 IPsec 策略，通過配置 IPsec 策略來指定需要加密數(shù)據(jù)的網(wǎng)絡(luò)范圍。

28.2.1 配置IKE協(xié)商策略

配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec，點擊

配置本地ＩＰ地址：指定本地用來協(xié)商的 ip 地址。
配置遠(yuǎn)程網(wǎng)關(guān)：如果對端指定地址固定可以配置靜態(tài) ip 地址。如果對端地址不確定可以選擇動態(tài)地址。

配置認(rèn)證方式：可選預(yù)共享密鑰或證書。如果是證書需要預(yù)先導(dǎo)入證書。

預(yù)共享密鑰方式需要和 IPSec VPN 對端一致。

28.2.2 配置IPSEC協(xié)商策略

配置步驟：

在 IKE 協(xié)商上，點擊其對應(yīng)的按鈕，進(jìn)入新建 IPSEC 協(xié)商

配置 IPSEC 協(xié)商的通道名稱
配置 IPSEC 協(xié)商的交互方案。可以選擇 ESP 封裝算法，或 AH 的封裝算法，和 IPSec 對端要保持一致。另外 Nat 穿越的情況下，不要使用AH 封裝。

配置工作模式。網(wǎng)絡(luò)到網(wǎng)絡(luò)的 IPSec 傳輸使用隧道模式。L2tp 遠(yuǎn)程接入使用傳輸模式。與 IPSec 對端需要保持一致。

28.2.3 配置IPsec策略

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec 策略，點擊新建

配置源地址、源端口，目的地址、目的端口，協(xié)議號。源地址是要保護(hù)的本地私網(wǎng)。目的地址是要保護(hù)的對端私網(wǎng)。

通道選擇上一節(jié) IPSEC 協(xié)商策略配置建立 VPN 隧道。

28.3 IPSec VPN配置參數(shù)

28.3.1 IKE協(xié)商參數(shù)

IKE 策略定義了 IKE 協(xié)商的一組參數(shù)。兩端 VPN 設(shè)備通過 IKE 協(xié)議協(xié)商建立 ISAKMP 安全關(guān)聯(lián)（IPsec 一階段 SA）。

配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec，點擊

網(wǎng)關(guān)名稱：IKE 協(xié)商的名稱。

本地 IP 地址：本地用來接受或發(fā)起協(xié)商的地址。

遠(yuǎn)程網(wǎng)關(guān)：

靜態(tài) IP：指定對端為靜態(tài) IP 方式，會出現(xiàn) IP 地址選項，需要配置對端 IP 地址

動態(tài) IP: 指定對端為動態(tài) IP

模式：IKE 協(xié)商的協(xié)商模式是野蠻模式還是主模式。

認(rèn)證方式：在協(xié)商過程中所采用的認(rèn)證方法，可選預(yù)共享密鑰或證書。

預(yù)共享密鑰：當(dāng)采用預(yù)共享密鑰的認(rèn)證方法時要輸入的密鑰值。

本地證書：當(dāng)采用證書認(rèn)證方法時要選擇的本地證書。

IKE 協(xié)商的交互方案：在協(xié)商過程中所采用加密算法和驗證算法。

DH 組：在協(xié)商過程中做 DH 交換時采用的 group 值。

密鑰周期：階段 1 的 SA 的生存時間。

NAT 穿越保持連接的頻率：設(shè)置 NAT 穿越的保活時間。

本地 ID：設(shè)置本地 ID（可選項）。主要用于 NAT 穿越中已經(jīng)做靜態(tài) NAT 的情況。

對端 ID：設(shè)置對端 ID（可選項）。主要用于 NAT 穿越中已經(jīng)做靜態(tài) NAT 的情況。

對等體狀態(tài)檢測：是否啟用 DPD 功能。

DPD 穿越保持連接的頻率：設(shè)置對等體檢測時間。

28.3.2 IPSEC協(xié)商參數(shù)

兩端 VPN 設(shè)備通過 IKE 協(xié)議協(xié)商建立 ISAKMP 安全關(guān)聯(lián)后，這些參數(shù)用于協(xié)商建立 IPsec 二階段的安全關(guān)聯(lián)。

配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec，對應(yīng)于已建立的 IKE 協(xié)商，點擊按鈕，進(jìn)入新建 IPSEC 協(xié)商：

通道名稱：IPSEC 協(xié)商的名稱

對端網(wǎng)關(guān)：IKE 協(xié)商的網(wǎng)關(guān)名稱

IPSEC 協(xié)商的交互方案：協(xié)商 IPSEC 的封裝方式以及算法

完美向前保密（PFS）：是否需要在 IPSEC 協(xié)商過程中采用 DH 交換

工作模式：協(xié)商 IPSEC 封裝時工作方式

超時時間：可以以秒數(shù)或者字節(jié)數(shù)決定 IPSEC SA 的生存時間

28.3.3 IPsec策略

IPSEC 策略定義了 IPSEC 協(xié)商的保護(hù)子網(wǎng)等參數(shù)。配置步驟：

進(jìn)入網(wǎng)絡(luò)>VPN>IPsec-VPN>IPsec 策略，對應(yīng)于已建立的 IKE 協(xié)商，點擊按鈕，進(jìn)入新建 IPsec 策略：

名稱：IPsec 策略的名稱

啟用：是否啟用當(dāng)前策略

源地址：需要保護(hù)的本地子網(wǎng)的地址

目的地址：需要保護(hù)的對端子網(wǎng)的地址

源端口：需要保護(hù)的本地發(fā)出流量的源端口

目的端口：需要保護(hù)的本地發(fā)出流量的目的端口

協(xié)議號：需要保護(hù)的本地發(fā)出流量的目的協(xié)議號

通道：保護(hù)當(dāng)前流量的階段二

自動連接：啟用后立即主動發(fā)起連接

28.4 配置案例

28.4.1 配置案例1：配置IPSEC基本組網(wǎng)

案例描述

假定網(wǎng)絡(luò)環(huán)境如下圖所示，PC 機(jī)到 Server 的流量需要經(jīng)過各自的 FW 設(shè)備后在 Internet 上傳輸，為了保證流量在 Internet 傳輸過程中的安全性，有必要在 FW_ A 和 FW_B 之間建立 IPSec 的 VPN 隧道以保障通信安全。