1.IPSec 概述

IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务，这些安全服务是可选的，通常情况下，本地上网行为管理决定了采用以下安全服务的一种或多种：

数据的机密性—IPSec的发送方对发给对端的数据进行加密

数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改

数据来源的认证—IPSec接收方验证数据的起源

抗重播—IPSec的接收方可以检测到重播的IP包丢弃

使用IPSec可以避免数据包的监听、修改和欺骗，数据可以在不安全的公共网络环境下安全的传输，IPSec的典型运用是构建VPN。IPSec使用 “封装安全载荷（ESP）”或者“鉴别头（AH）”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播；使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ，根据上网行为管理数据库（SPDB）随IPSec使用，用来协商安全联盟（SA）并动态的管理安全联盟数据库。

相关术语解释：

鉴别头（AH）：用于验证数据包的安全协议

封装安全有效载荷（ESP）： 用于加密和验证数据包的安全协议；可与AH配合工作可也以单独工作

加密算法：ESP所使用的加密算法

验证算法：AH或ESP用来验证对方的验证算法

密钥管理：密钥管理的一组方案，其中IKE（Internet密钥交换协议）是默认的密钥自动交换协议

2.IPSec配置过程

IPSec VPN 提供了网关到网关和远程接入的安全服务功能，提供路由模式和桥模式下的IPSec VPN传输，支持隧道模式。身份认证支持预共享密钥。

配置IPSec VPN基本过程如下：

1、配置IKE协商策略，主要配置对端地址，认证方式，协商参数等。

2、配置IPSEC协商策略，主要配置IPSec加密算法，封装模式等。

3、配置上网行为管理，通过配置IPSec类型的上网行为管理来指定需要加密数据的网络范围。

3.配置IKE 第一阶段

配置步骤：

进入网络管理> IPSec-VPN>IPSec>新建>新建IKE

2、配置IKE

网关名称：IKE协商的名称。

对端网关：

静态ip地址：由用户输入ip地址。

动态地址

域名：由用户输入对端的域名。

模式：IKE协商的协商模式是野蛮模式还是主模式。

认证方式：在协商过程中所采用的认证方法，可选预共享密钥。

预共享密钥：当采用预共享密钥的认证方法时要输入的密钥值。

IKE协商的交互方案：在协商过程中所采用加密算法和验证算法。

DH组：在协商过程中做DH交换时采用的group值。

密钥周期：阶段1的SA的生存时间。

NAT穿越保持连接的频率：设置NAT穿越的保活时间。

本地ID（地址）：设置本地ID（可选项）。主要用于NAT穿越中已经做静态NAT的情况。

对等体状态检测：是否启用DPD功能。

DPD穿越保持连接的频率：设置对等体检测时间。

1、输入网关名称

2、选择远程网关的类型

3、配置远程网关的IP地址

4、选择IKE协商模式

5、输入预共享密钥值

6、选择IKE协商的加密认证算法

7、选择DH交换的group值

8、输入SA的生存时间值

9、输入NAT穿越的连接频率

10、输入本地身份的IP地址

11、选择是否启用状态检测以及输入连接频率

12、点击提交。

4.配置IPSec 第二阶段

通道名称：IPSEC协商的名称

远程网关：选择IKE协商的网关名称

IPsec协商的交互方案：协商IKE的封装方式以及算法

完美向前保密（PFS）：是否需要在IPSEC协商过程中采用DH交换

工作模式：协商IPSEC封装时工作方式

密钥周期：可以以秒数或者字节数决定IPSEC SA的生存时间

自动连接：可自动连接隧道，查看隧道是否建立成功

1、输入通道名称

2、选择下拉框中的IKE协商的网关名称

3、选择IPsec SA的封装方式以及算法

5、选择是否使用PFS功能

6、选择IPSEC SA的工作模式

7、设置IPSEC SA的生存方式

8、设置是否选用自动连接

5.配置策略选用IPSec

配置步骤：

1、进入上网行为>上网行为管理：