在后面的介绍里,你将发现在远程拨入用户帐号和lan-to-lan vpn设定档 里,你都可以为相应的设定档单独配置ipsec拨入设定(包括预共享密钥和安全方法)。如果你没有为那些设定档专门配置拨入设定,它们将使用vpn ipsec/ike基本设定 里的设置。
ipsec协商分两个阶段。
阶段1:协商ike参数,包括加密方式,hash,diffie-hellman参数值,阶段1的密钥存活期。在阶段1会通过pre-shared key或者数字证书来认证vpn双方的身份。vpn拨出端在协商开始后会发送一个或多个ike参数的提议到vpn 拨入端,拨入端将接受符合它的且具有最高优先权的提议.最终双方完成协商后,将建立一个安全隧道,为ike阶段2所使用。
阶段2:协商ipsec安全方法,为之后的ike通信选择一个保护机制.可选的模式有认证头(ah)和封装安全载荷(esp)。
根据封装的载荷内容不同,可分为两种模式:
隧道模式(tunneling mode),将整个ip分组封装到esp/ah载荷中。
传输模式(transporting mode),将上层协议部分封装到esp载荷中。
认证头(ah)机制主要用于为通信提供完整性服务。
封装安全载荷(esp)机制主要为通信提供机密性保护。依据建立安全关联时的选择,它也能为通信提供鉴别保护。
在ipsec基本设定, 有两个部分的配置。
ike认证方法 :这里设置的预共享密钥通常在以下情况下被使用: 远端用户拨入的host-to-lan ipsec vpn,以及拨出端使用动态wan ip的lan-to-lan ipsec vpn。
预共享密钥 - 输入预共享密钥
重新键入预共享密钥 - 确认输入的预共享密钥
ipsec安全方法:选择允许的ipsec安全方法。 注意:该设定仅用于ipsec 第二阶段的协商。
中等 (ah) - 数据将被认证,但不会被加密。默认该选项被启用。
高等 (esp) - 数据将被认证和加密。这里我们支持des、3des和aes加密方式。默认所有选项都被启用。