您可以为这些ipsec 相关的vpn 连接设置一个公用的预共享密钥(pre-shared key)以及安全方法(phase 2 协商阶段)。这些设定用于远程拨入用户或拨入的lan-to-lan vpn。通常他们都使用动态ip 地址。
在后面的介绍里,您将发现在远程拨入用户帐号和lan-to-lan vpn 设定档里,您都可以为相应的设定档单独配置ipsec 拨入设定(包括预共享密钥和安全方法)。如果您没有为那些设定档专门配置拨入设定,它们将使用vpn ipsec/ike 基本设定里的设置。
ipsec 协商分两个阶段。
阶段1:协商ike 参数,包括加密方式,hash,diffie-hellman 参数值,阶段1 的密钥存活期。在阶段1 会通过pre-shared key 或者数字证书来认证vpn 双方的身份。vpn 拨出端在协商开始后会发送一个或多个ike 参数的提议到vpn 拨入端,拨入端将接受符合它的且具有最高优先权的提议.最终双方完成协商后,将建立一个安全隧道,为ike 阶段2 所使用。
阶段2:协商ipsec 安全方法,为之后的ike 通信选择一个保护机制.可选的模式有认证头(ah)和封装安全载荷(esp)。
根据封装的载荷内容不同,可分为两种模式:
隧道模式(tunneling mode),将整个ip 分组封装到esp/ah 载荷中。
传输模式(transporting mode),将上层协议部分封装到esp 载荷中。
认证头(ah)机制主要用于为通信提供完整性服务。
封装安全载荷(esp)机制主要为通信提供机密性保护。依据建立安全关联时的选择,它也能为通信提供鉴别保护。
在ipsec 基本设定, 有两个部分的配置。
ike 认证方法:这里设置的预共享密钥通常在以下情况下被使用: 远端用户拨入的host-to-lan ipsec vpn,以及拨出端使用动态wan ip 的lan-to-lan ipsec vpn。
预共享密钥- 输入预共享密钥
重新键入预共享密钥- 确认输入的预共享密钥
ipsec 安全方法:选择允许的ipsec 安全方法。注意:该设定仅用于ipsec第二阶段的协商。
中等(ah) - 数据将被认证,但不会被加密。默认该选项被启用。
高等(esp) - 数据将被认证和加密。这里我们支持des、3des 和aes 加密方式。默认所有选项都被启用。