配置思路
- 定义acl感兴趣流
- 静态路由
- Ipsec安全提议{配置隧道模式、安全协议esp、加密算法aes、认证算法sha1}
- 配置ike(配置对称秘钥)
- 配置ike profile{调用ike、匹配对端公用ip}
- 创建ipsec策略{应用acl、应用安全提议、配本端与对端公网ip、引用ike profile}
- 出口引用ipsec
加密 DES、3DES、AES
验证 md5、sha1
封装协议 ESP、AH
模式 大概率是隧道模式,传输模式用于两台机器直接点对点ipsec,使用概率很低
秘钥有效期 3600 1800 ike sa 86400s ipsec sa3600s
配置的核心
- ipesc提议用什么(加密、认证、算法)
- ike确定对方、乙方的身份ip
- ipsec策略(把两者结合)
- 接口应用
为什么会有这个呢 ,因为ipsec 的配置其实有很多种,而且配置命令有相同也有不同,写核心的作用是用于各种场景的排错使用的
Ike的作用是协商ipsecsa,换句话来说就是与对端沟通使用那个ipsec安全提议
Ike根据自己的配置获得了对端地址、秘钥等 自己先协商出ikesa 就是自己的sa
然后再沟通ipsec 的sa
Ike有提议和概要 但不一定是要配
Ipsec有提议和概要
这里讲讲两种ipsec
Gre over ipsec 先gre 后再ipsec 不支持组播,所以复杂网络是有缺陷的例如路由协议、语音、视频等等 实际情况据说很少用使用的
特点:用gre接口来ipsec的ip
Ipsec over gre 先ipsec 在 gre 因为gre是支持组播的 ,所以使用实际上使用的应该更多
特点:ipsec 使用公网ip来做的 感兴趣流也是用公网ip来做的
具体看文档
个人感官:ipsec 出问题通常都在 感性流、公网ip这两点上