日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
關(guān)于IPSec配置步驟的VPN配置說明書

關(guān)于IPSec配置步驟的VPN配置說明書,現(xiàn)在使用VPN配置說明書用戶是越來越多了,對VPN配置說明書維護(hù)也成了一個不容忽視的問題。只有維護(hù)保養(yǎng)好它,不但讓你的“寬帶之旅”省心又省力,還能延長其壽命。

1.VPN配置說明書配置IKE 策略(policy)

policy就是上圖中的IKE策略。Policy里面的內(nèi)容有hash算法、加密算法、D-H組、生存時間??梢耘渲枚鄠€policy,只要對端有一個相同的,雙方就可以采用該policy,不過要主要policy中的認(rèn)證方式,因?yàn)檎J(rèn)證方式的不同會影響后續(xù)的配置不同。一般采用預(yù)共享(preshare)。在目前的安全路由器和VPN3020上的實(shí)現(xiàn)上都有默認(rèn)的配置選項(xiàng),也就是說如果你新增加一條策略后,即使什么都不配置,退出后,也會有默認(rèn)值的。

2.VPN配置說明書配置預(yù)共享密鑰(preshare)

在配置預(yù)共享密鑰的時候,需要選擇是IP地址還是Hostname來標(biāo)識該密鑰,如果對端是IP地址標(biāo)識身份,就采用IP地址來標(biāo)識密鑰;如果對端是Hostname來標(biāo)識身份,則采用hostname來標(biāo)識密鑰。

3.VPN配置說明書配置本端標(biāo)識(localid)

本端標(biāo)識有IP地址和Hostname,在安全路由器上,默認(rèn)的是用IP地址來標(biāo)識。即不配置本端標(biāo)識,就表示是用IP地址來標(biāo)識。以上三個步驟就完成IKE的配置,以下是IPSec的配置:

4.VPN配置說明書配置數(shù)據(jù)流(access-list)

很容易理解,部署任何VPN配置說明書都需要對數(shù)據(jù)流所限制,不可能對所有的數(shù)據(jù)流都進(jìn)行加密(any to any)。配置好數(shù)據(jù)流后,在加密映射(map)中引用該數(shù)據(jù)流。

5.VPN配置說明書配置變換集合(transform-set)

變換集合是某個對等方能接受的一組IPSec協(xié)議和密碼學(xué)算法。雙方只要一致即可。注意,在VPN3020和帶加密模塊的安全路由器上支持國密辦的SSP02算法。

6.VPN配置說明書配置加密映射(map)

為IPSec創(chuàng)建的加密映射條目使得用于建立IPSec安全聯(lián)盟的各個部件協(xié)調(diào)工作,它包括以下部分:
◆所要保護(hù)的數(shù)據(jù)流(引用步驟4所配置的數(shù)據(jù)流)
◆對端的IP地址(這個是必須的,除非是動態(tài)加密映射,見本文后面的章節(jié))
◆對所要保護(hù)的數(shù)據(jù)流采用什么加密算法和采用什么安全協(xié)議(引用步驟5所配置的變換集合)
◆是否需要支持PFS(雙方要一致)
◆SA的生存時間(是可選的,不配置的話有默認(rèn)值)

7.VPN配置說明書應(yīng)用(激活)加密映射

在安全路由器上是將該加密映射應(yīng)用到接口上去,而在VPN3020上是激活(active)該map。

動態(tài)加密映射技術(shù)

目前,安全路由器系列和VPN配置說明書系列均支持動態(tài)加密映射。什么是動態(tài)加密映射?動態(tài)加密映射所應(yīng)用的環(huán)境是什么呢?我們可以從以下的一個案例中來說明動態(tài)加密映射的概念。如下圖:在上圖的網(wǎng)絡(luò)拓?fù)渲校琈P803接入Internet的并不是寬帶接入(固定IP地址),而是在通過電信ADSL撥號來獲取到IP地址,不是固定的IP地址。

這時候,對于上端MP2600A來說,就存在問題了,回想一下前面所描述的配置步驟,在步驟六中配置加密映射的時候,需要配置對端的peer IP地址,這時候怎么辦呢?或許您想到——那我每次撥號獲取到IP地址后,再在兩端來配置IPSec——這種解決辦法是OK的,只要客戶或者您自己容忍每次MP803重新?lián)芴柡?,您重新去更改配置。顯然,這樣方法充其量只能用來測試的。

動態(tài)加密映射就是用來解決這類問題的。顧名思義,動態(tài)加密映射,就是說,在配置加密映射的時候,不需要配置對端的peer IP地址。目前,安全路由器和VPN配置說明書系列都支持動態(tài)加密映射,但由于兩者實(shí)現(xiàn)上的差異,導(dǎo)致他們在配置動態(tài)加密映射的時候存在一些不同,在后文的實(shí)際配置案例中會講到。

NAT穿越略述

NAT穿越是指在兩臺VPN配置說明書網(wǎng)關(guān)之間的還存在NAT設(shè)備,從原理來說,NAT和IPSec存在一定的矛盾。主要體現(xiàn)兩點(diǎn):NAT更改了IP數(shù)據(jù)包的IP源地址或者目的地址,這與IPSec協(xié)議中的AH認(rèn)證頭協(xié)議存在不可調(diào)和的矛盾,因此如果IPSec報文需要穿越NAT設(shè)備的話,在配置變換集合的時候就不能選用AH協(xié)議(目前,由于ESP協(xié)議也提供驗(yàn)證功能,AH使用很少);

第二點(diǎn)是NAT設(shè)備的端口地址轉(zhuǎn)換是針對TCP/UDP/ICMP等協(xié)議。對于ESP協(xié)議,沒有相應(yīng)的處理機(jī)制。具體詳細(xì)資料請查看IETF的草案。此外,NAT穿越目前還沒有國際標(biāo)準(zhǔn),公司在國內(nèi)率先實(shí)現(xiàn)了NAT穿越功能。目前,公司的安全路由器、VPN3020等都已經(jīng)實(shí)現(xiàn)了NAT穿越。NAT穿越對于路由器和VPN3020上的配置沒有任何的改變。目前,公司的北京辦和總部的互聯(lián)的兩臺路由器建立隧道就是穿越了NAT。


文章名稱:關(guān)于IPSec配置步驟的VPN配置說明書
分享地址:http://www.dlmjj.cn/article/dpsdppg.html