本帖最后由 新手576859 于 2021-12-25 23:15 编辑
IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
配置步骤 1.第一阶段配置 主要配置对端的固定IP类型和预共享秘钥 2.第一阶段高级配置 IKE参数配置,对接的两端协商一致就好,包括IKE认证算法和加密算法,DH群,DPD检测时间等 3.第二阶段配置 这里有出站策略(我方的那些IP要访问对端)和入站策略(对端的那些IP要访问进来) a.入站策略配置 主要是配置对端的IP和服务 b.出站策略 这里主要配置本端要出去的IP和服务,以及安全策略(在安全选项提前配置好,此处进行引用) 注意“启用秘钥完美向前保密”,某公司设备上称为“密钥完美向前保密”在IPSEC协商的第一阶段,通过DH算法进行了密钥的交互,并生成了加密密钥。如果不使用PFS,则第二阶段的加密密钥会根据第一阶段的密钥自动生成。使用了PFS,则第二阶段要重新通过DH算法协商一个新的加密密钥,从而提高了数据的安全性。PFS主要是用来加强数据传输的安全性;要启用PFS,则连接双方都要启用PFS,否则无法进行第二阶段的DH交换,从而协商不出新的加密密钥;启用PFS会比较消耗设备性能。 排错:1、检查连接的双方是否都启用了PFS,确保两边都启用或者都禁用;2、启用PFS后,某公司设备默认只支持两个阶段DH组一致,如果对方是可以配置DH组的,需要把两个阶段的DH组设置成一致。 3.安全选项 此处配置好认证算法和配置算法,在第二阶段的出站策略出引用 4.一条IPSEC VPN配置就配置完成了,注意的是两端的参数配置一定要保持一致 附件:对端阿里云端的配置 图一中的本端网段地址应为10.100.100.0/255.255.255.0,本案例中前端设备做了SANT转换成了将192.168.0.0/24转换成了10.100.100.0/255.255.255.0 |