第一階段IKE(InternetKeyExchange，因特網(wǎng)密鑰交換協(xié)議)設(shè)置

大多數(shù)產(chǎn)商都把這個叫成VPNsGateway

協(xié)商模式：

可以選擇主模式(Main)或野蠻模式(Aggressive)。當(dāng)選擇主模式時，只能使用ip地址作為ID的類型。當(dāng)用戶端設(shè)備的IP地址為動

態(tài)獲取的情況時，需要選擇野蠻模式。IKE野蠻模式相對于主模式來說更加靈活，可以選擇根據(jù)協(xié)商發(fā)起端的IP地址或者ID來查找

對應(yīng)的身份驗證字，并最終完成協(xié)商。

驗證方法AH(AuthenticationHeader)：

身份驗證確認(rèn)通信雙方的身份。目前在IKE提議中，僅可用pre-shared-key身份驗證方法，使用該驗證方法時必須配置身份驗證

字。

加密算法：

1．包括DES和3DES加密算法，

2．DES算法采用56bits的密鑰進(jìn)行加密；

3．3DES算法采用168bits的密鑰進(jìn)行加密；

4．AES128(AdvancedEncryptionStandard，即高級加密標(biāo)準(zhǔn))采用Rijndael中的128bits的密鑰進(jìn)行加密

5．AES192(AdvancedEncryptionStandard，即高級加密標(biāo)準(zhǔn))采用Rijndael中的192bits的密鑰進(jìn)行加密

6．AES256(AdvancedEncryptionStandard，即高級加密標(biāo)準(zhǔn))采用Rijndael中的256bits的密鑰進(jìn)行加密

一般來說，密鑰越長的算法強度越高，受保護(hù)數(shù)據(jù)越難被破解，但消耗的計算資源會更多。

Diffie-Hellman組標(biāo)識(DH)：

用戶可以選擇Group1即768bit或Group2即1024bit。

ISAKMP-SA生存周期：

IKE使用了兩個階段為IPSEC進(jìn)行密鑰協(xié)商并建立安全聯(lián)盟。第一階段，通信各方彼此間建立了一個已通過身份驗證和安全保護(hù)的

通道，即ISAKMP安全聯(lián)盟（ISAKMPSA）；第二階段，用在第一階段建立的安全通道為IPSEC協(xié)商安全服務(wù)，即為IPSEC協(xié)商具

體的安全聯(lián)盟，建立IPSECSA，IPSECSA用于最終的IP數(shù)據(jù)安全傳送。ISAKMP-SA生存周期可以設(shè)定為60到604800之間的一

個整數(shù)。

定時發(fā)送keepAlive報文：

IKE通過ISAKMPSA向?qū)Χ硕〞r發(fā)送Keepalive報文維護(hù)該條ISAKMPSA的鏈路狀態(tài)。當(dāng)對端在配置的超時時間內(nèi)未收到此

Keepalive報文時，如該ISAKMPSA帶有TIMEOUT標(biāo)記，則刪除該ISAKMPSA及由其協(xié)商的IPSECSA；否則，將其標(biāo)記為

TIMEOUT。

第二階段IPSEC

封裝模式：

包括傳輸模式(Transport)和隧道模式(Tunnel)。從安全性來講，隧道模式優(yōu)于傳輸模式。它可以完全地對原始IP數(shù)據(jù)報進(jìn)行驗證和

加密；此外，可以使用IPSEC對等體的IP地址來隱藏客戶機的IP地址。從性能來講，隧道模式比傳輸模式占用更多帶寬，因為它有

一個額外的IP頭。因此，到底使用哪種模式需要在安全性和性能間進(jìn)行權(quán)衡。

安全聯(lián)盟生存周期：

所有在安全策略視圖下沒有單獨配置生存周期的安全聯(lián)盟，都采用全局生存周期。IKE（InternetKeyExchange，因特網(wǎng)密鑰交換

協(xié)議）為IPSEC協(xié)商建立安全聯(lián)盟時，采用本地設(shè)置的和對端提議的生存周期中較小的一個。安全聯(lián)盟生存周期的輸入范圍為

30~604800的整數(shù)。

采用的安全協(xié)議：

安全提議中需要選擇所采用的安全協(xié)議。目前可選的安全協(xié)議有AH和ESP，也可指定同時使用AH與ESP。安全隧道兩端所選擇的

安全協(xié)議必須一致。

ESP協(xié)議加密算法：

ESP能夠?qū)P報文內(nèi)容進(jìn)行加密保護(hù)，防止報文內(nèi)容在傳輸過程中被窺探。加密算法的實現(xiàn)主要通過對稱密鑰系統(tǒng)，即使用相同的

密鑰對數(shù)據(jù)進(jìn)行加密和解密。一般來說IPSEC使用兩種加密算法：DES和3DES。

ESP協(xié)議及AH協(xié)議驗證算法：

AH和ESP都能夠?qū)P報文的完整性進(jìn)行驗證，以判別報文在傳輸過程中是否被篡改。一般來說IPSEC使用兩種驗證算法：MD5和

SHA-1。

1．MD5：MD5輸入任意長度的消息，產(chǎn)生128bit的消息摘要。

2．SHA-1：SHA-1輸入長度小于2的64次方比特的消息，產(chǎn)生160bit的消息摘要。SHA-1的摘要長于MD5，因而是更安全的。

使用NAT穿越：

在IPSEC/IKE組建的VPN隧道中，若存在NAT安全網(wǎng)關(guān)設(shè)備，則必須配置IPSEC/IKE的NAT穿越功能。

【編輯推薦】

1. IPSec VPN快速入門
2. IPSec VPN基本原理
3. IPSec VPN的詳細(xì)介紹
4. 基于PSK的IPsec VPN配置