IPSec使用方法：配置和启用IPSec的步骤详解(一)

SSL 5.5用户手册2012年3月目录SSL 5.5用户手册 (1)声明 (3)第1章控制台的使用 (4)1.1. 登录WebUI配置界面 (4)1.2. 运行状态 (5)第2章系统设置 (6)第3章IPSEC-VPN信息设置 (7)3.1. 运行状态 (7)3.2. RIP设置 (8)3.3. VPN接口 (10)3.4. LDAP设置 (10)3.5. Radius设置 (13)3.6. 生成证书 (13)3.7. 第三方对接 (15)3.7.1. 第一阶段 (15)3.7.2. 第二阶段 (17)3.7.3. 安全选项 (19)第4章SSL VPN客户端使用 (21)4.1. SSL VPN客户端使用说明 (25)声明Copyright © 2012深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

SINFOR、SANGFOR及图标为深圳市深信服电子科技有限公司的商标。

对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

本手册内容如发生更改，恕不另行通知。

如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。

第1章控制台的使用1.1.登录WebUI配置界面按照前面所示方法接好线后，通过Web界面来配置VPN设备。

方法如下：首先为本机器配置一个10.254.254.X网段的IP（如配置10.254.254.100），掩码配置为255.255.255.0，然后在IE浏览器中输入网关的默认登录IP及端口，输入http：//10.254.254.254:1000，页面如下：在登录框输入『用户名』和『密码』，点击登录按钮即可登录VPN网关进行配置，默认情况下的用户名和密码均为：Admin。

SA：安全关联SAD:安全关联数据库SPD：安全策略数据库IKE：密钥交换协议IPSEC分为AH和ESP两种模式建立IPSEC有两个阶段、第一个阶段：建立一个名为ISAKMP SA的安全关联（主模式），以保证SA后续通信。

第二阶段：通信任何一方发起一个快捷模式的消息交换序列，完成用于保护通信数据的IPSEC SA的协商（分为：主模式和积极模式）密钥组：DH_GROUP DH加密算法生存期：密钥生存期PPS组：完美加密1. 搭建系统环境VMWare中建立4台虚拟机来进行试验。

操作系统：RHEL5内核版本：2.6.28.10网络拓扑图如下所示：2. 安装IPSec-tools-0.7.32.1. 下载IPSec-tools-0.7.3官网：/下载地址：ftp:///pub/NetBSD/misc/ipsec-tools/0.7/2.2. 安装IPSec-tools-0.7.3tar zxvf ipsec-tools-0.7.3.tar.gz进入ipsec-tools-0.7.3目录，执行：./configure;make；make install;3. Host2Host+Site2Site模式配置配置前，确保SERVER_1与SERVER_2的正常通信。

3.1. 配置IPSEC共享密钥3.1.1. 操作分别在SERVER_1与SERVER_2的/etc/racoon目录下建立配置文件，文件名为psk.conf，内容如下：psk.conf（SERVER_1）：192.168.2.20 11111111YEETECpsk.conf（SERVER_2）：192.168.2.10 11111111YEETEC3.1.2. 配置说明格式为：对端IP空格PSK其中，1. 对于本机而言，只配置对端IPSEC VPN隧道的PSK。

2. 每条IPSec VPN隧道对应的PSK，必须相同。

3.2. 配置IKE文件3.2.1. 操作分别在SERVER_1与SERVER_2的/etc/racoon目录下建立配置文件，文件名为racoon.conf，两端文件内容相同，内容如下：path include "/etc/racoon"; #配置文件位置path pre_shared_key "/etc/racoon/psk.conf"; #共享密钥文件path certificate "/etc/racoon/cert"; #证书文件目录log notify;# "padding" defines some parameter of padding. You should not touch these.padding{maximum_length 20; # maximum padding length.randomize off; # enable randomize length.strict_check off; # enable strict check.exclusive_tail off; # extract last one octet.}# if no listen directive is specified, racoon will listen to all# available interface addresses.listen{#isakmp ::1 [7000];#isakmp 202.249.11.124 [500];#admin [7002]; # administrative's port by kmpstat.#strict_address; # required all addresses must be bound.adminsock "/var/run/racoon/racoon.sock" "root" "users" 660;}# Specification of default various timer.timer{# These value can be changed per remote node.counter 5; # maximum trying count to send.interval 20 sec; # maximum interval to resend.persend 1; # the number of packets per a send.# timer for waiting to complete each phase.phase1 30 sec;phase2 15 sec;}remote anonymous #阶段一协商{exchange_mode main; #main:主模式，aggressive：野蛮模式lifetime time 4 hour;proposal {encryption_algorithm aes;hash_algorithm sha1;authentication_method pre_shared_key;dh_group 1;}}sainfo anonymous #阶段二协商{pfs_group 2;lifetime time 2 hour ;encryption_algorithm aes;authentication_algorithm hmac_sha1;compression_algorithm deflate ;}3.2.2. 配置说明橙色内容为待修改的配置选项，具体说明如下：path include "/etc/racoon"; #配置文件位置path pre_shared_key "/etc/racoon/psk.conf"; #共享密钥文件path certificate "/etc/racoon/cert"; #证书文件目录log notify;# "padding" defines some parameter of padding. You should not touch these. padding{maximum_length 20; # maximum padding length.randomize off; # enable randomize length.strict_check off; # enable strict check.exclusive_tail off; # extract last one octet.}# if no listen directive is specified, racoon will listen to all# available interface addresses.listen{#isakmp ::1 [7000];#isakmp 202.249.11.124 [500];#admin [7002]; # administrative's port by kmpstat.#strict_address; # required all addresses must be bound.adminsock "/var/run/racoon/racoon.sock" "root" "users" 660; }# Specification of default various timer.timer{# These value can be changed per remote node.counter 5; # maximum trying count to send.interval 20 sec; # maximum interval to resend.persend 1; # the number of packets per a send.# timer for waiting to complete each phase.phase1 30 sec;phase2 15 sec;}remote anonymous #阶段一协商{exchange_mode main; #main:主模式，aggressive：野蛮模式lifetime time 4 hour;proposal {encryption_algorithm aes;hash_algorithm sha1;authentication_method pre_shared_key;dh_group 1;}}sainfo anonymous #阶段二协商{pfs_group 2;lifetime time 2 hour ;encryption_algorithm aes;authentication_algorithm hmac_sha1;compression_algorithm deflate ;}其中path include：指定配置文件位置，默认为/etc/racoon。

•IPSec VPN 基本概念与原理•Cisco 设备IPSec VPN 配置准备•IKE 协商过程详解•IPSec 数据传输过程详解•Cisco 设备IPSec VPN 高级配置技巧•故障诊断与排除方法分享•总结与展望目录01IPSec VPN基本概念与原理IPSec VPN定义及作用定义作用密钥管理技术通过IKE （Internet Key Exchange ）协议进行密钥的协商和管理，确保密钥的安全性和一致性。

工作原理IPSec VPN 通过在IP 层实现加密和认证，为上层应用提供透明的安全通信服务。

它使用AH （认证头）和ESP （封装安全载荷）两种协议来提供安全保护。

加密技术通过对数据进行加密，确保数据在传输过程中的机密性。

认证技术通过对数据和通信实体进行认证，确保数据的完整性和来源的合法性。

工作原理与关键技术0102AH （Authenti…ESP （Encapsu…IKE （Interne…SA （Security…SPD （Securit…030405相关术语解析02Cisco设备IPSec VPN配置准备根据实际需求选择支持IPSec VPN 功能的Cisco 路由器或防火墙设备，如ASA 5500系列、ISR G2系列等。

路由器/防火墙确保设备具备足够的处理能力和内存，以支持VPN 隧道的建立和数据加密/解密操作。

处理器与内存为设备配置足够的存储空间，用于保存配置文件、日志等信息。

存储根据网络拓扑和连接需求，选择适当的接口类型和数量，如以太网接口、串行接口等，并配置相应的模块。

接口与模块设备选型与硬件配置软件版本及许可证要求软件版本确保Cisco设备上运行的软件版本支持IPSec VPN功能，并建议升级到最新的稳定版本。

许可证某些高级功能可能需要额外的许可证支持，如高级加密标准（AES）等。

在购买设备时，请确认所需的许可证是否已包含在内。

软件更新与补丁定期从Cisco官方网站下载并安装软件更新和补丁，以确保设备的稳定性和安全性。

H3C-ER系列路由器IPSEC-VPN的典型配置H3CER 系列路由器 IPSECVPN 的典型配置在当今数字化的时代，企业对于数据安全和远程访问的需求日益增长。

IPSECVPN 作为一种常用的安全通信技术，能够为企业提供可靠的数据加密和远程接入服务。

H3CER 系列路由器以其出色的性能和丰富的功能，成为了实现 IPSECVPN 的理想选择。

接下来，我们将详细介绍 H3CER 系列路由器 IPSECVPN 的典型配置过程。

一、前期准备在进行配置之前，我们需要明确一些基本信息和准备工作：1、确定两端路由器的公网 IP 地址，这是建立 VPN 连接的关键。

2、规划好 IPSECVPN 的参数，如预共享密钥、IKE 策略、IPSEC 策略等。

3、确保两端路由器能够正常连接到互联网，并且网络连接稳定。

二、配置步骤1、配置 IKE 策略IKE（Internet Key Exchange，互联网密钥交换）策略用于协商建立IPSEC 安全联盟所需的参数。

在 H3CER 系列路由器上，我们可以按照以下步骤进行配置：（1）进入系统视图：｀｀｀systemview｀｀｀（2）创建 IKE 安全提议：｀｀｀ike proposal 1｀｀｀（3）设置加密算法和认证算法：｀｀｀encryptionalgorithm aescbc-128authenticationalgorithm sha1｀｀｀（4）创建 IKE 对等体：｀｀｀ike peer peer1｀｀｀（5）设置对等体的预共享密钥：｀｀｀presharedkey simple 123456｀｀｀（6）指定对等体使用的 IKE 提议：｀｀｀ikeproposal 1｀｀｀（7）指定对等体的对端 IP 地址：｀｀｀remoteaddress ＿___｀｀｀2、配置 IPSEC 策略IPSEC 策略用于定义数据的加密和认证方式。

以下是配置步骤：（1）创建 IPSEC 安全提议：｀｀｀ipsec proposal proposal1｀｀｀（2）设置封装模式和加密算法：｀｀｀encapsulationmode tunneltransform espesp encryptionalgorithm aescbc-128esp authenticationalgorithm sha1｀｀｀（3）创建 IPSEC 策略：｀｀｀ipsec policy policy1 1 isakmp｀｀｀（4）指定引用的 IKE 对等体和 IPSEC 安全提议：｀｀｀ikepeer peer1proposal proposal1｀｀｀（5）指定需要保护的数据流：｀｀｀security acl 3000｀｀｀（6）创建访问控制列表，定义需要保护的数据流：｀｀｀acl advanced 3000rule 0 permit ip source 19216810 000255 destination 19216820 000255｀｀｀3、在接口上应用 IPSEC 策略完成上述配置后，需要在相应的接口上应用 IPSEC 策略，以启用VPN 功能：｀｀｀interface GigabitEthernet0/1ipsec apply policy policy1｀｀｀三、配置验证配置完成后，我们可以通过以下方式进行验证：1、查看 IKE 安全联盟状态：｀｀｀display ike sa｀｀｀2、查看 IPSEC 安全联盟状态：｀｀｀display ipsec sa｀｀｀3、从一端向另一端发送测试数据，检查数据是否能够正常加密传输。

H3C华为-IPsecVPN配置教程H3C&华为-IPsecVPN配置教程第⼀篇：⽹关对⽹关IPSec-VPN⼀、H3C路由1、型号：MER5200；软件版本： version 7.1.064, Release 0809P07；固定外⽹IP；2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条，如下图：3、创建IPsecVPN3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图：3.2 名称----⾃⾏编辑；接⼝---选择外⽹出⼝，组⽹⽅式---分⽀节点；对端⽹关---对端外⽹IP；认证⽅式---预共享密钥；预共享密钥要与对端路由⼀致；3.3 保护流配置H3C路由器下有个内⽹段需要与对端通信，就添加⼏个。

本例172.16.10.0/24与10.10.11.0/24为本地内⽹，172.24.0.0/24为对端内⽹。

注：H3C设备不需要单独再做NAT配置。

4、显⽰⾼级配置4.1 ike配置：主模式、本地外⽹、对端外⽹，关闭对等体检测，算法组推荐。

如下图：4.2 IPsec配置：按照默认配置即可。

5、监控信息待对端华为路由配置完成且正确后，监控会显⽰如下信息。

6、命令⾏检查[H3C]dis acl allDis ike saDis ipsec sa⼆、华为路由1、型号：AR1220-S，软件版本：[V200R007C00SPC900]，固定外⽹IP。

2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条，如下图：2、配置⾼级ACL2.1 新建“nonat”，添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条，其他允许NAT转换；如下图2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl，此路由⾛IPsec。

如下图2.3 创建“⽣效时间”3、NAT应⽤⾼级acl“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。

路由器IPSEC配置在当今数字化的时代，网络安全变得至关重要。

为了保护数据在网络中的传输安全，IPSEC（Internet Protocol Security）技术应运而生。

IPSEC 是一种广泛应用于网络通信的安全协议，通过对数据包进行加密和认证，确保数据的机密性、完整性和真实性。

而在网络架构中，路由器作为连接不同网络的关键设备，其 IPSEC 配置是保障网络安全的重要环节。

首先，我们来了解一下为什么需要在路由器上进行 IPSEC 配置。

随着企业业务的扩展和移动办公的普及，员工需要通过互联网访问企业内部网络资源，这就带来了数据泄露的风险。

IPSEC 可以在公共网络上建立一个安全的隧道，使得数据在传输过程中如同在一个私有网络中一样安全。

此外，对于企业之间的数据交换，IPSEC 也能确保双方通信的保密性和完整性，防止敏感信息被窃取或篡改。

接下来，让我们详细了解路由器 IPSEC 配置的步骤。

第一步，确定 IPSEC 策略。

这包括定义哪些流量需要进行保护，例如特定的 IP 地址范围、端口号或应用程序。

同时，还需要确定加密和认证的算法，常见的加密算法有 AES（Advanced Encryption Standard），认证算法有 SHA-1（Secure Hash Algorithm 1）等。

第二步，配置 IKE（Internet Key Exchange）。

IKE 用于在通信双方之间协商安全参数，如加密密钥、认证密钥等。

在路由器上，需要设置 IKE 的版本（通常为 IKEv2）、认证方式（如预共享密钥或数字证书）以及协商模式（主模式或积极模式）。

第三步，定义 IPSEC 变换集。

变换集指定了对数据包进行加密和认证所使用的具体算法和模式。

例如，可以选择使用 AES-128 加密算法和 SHA-256 认证算法。

第四步，创建 IPSEC 策略。

将前面定义的流量、IKE 和变换集组合成一个完整的IPSEC 策略。

Openswan ipsec配置（金山云环境）一、文档介绍公司在金山云北京区和上海都承载了虚拟机，默认情况下，两个区的服务器不能相互通讯，现在公司有需求，要两边的虚拟机相互打通金山云通过专线实现两个区互通，不过需要收费，所以决定通过开源vpn软件来实现我们选取openswanOpenswan简介文档详细讲解openswan的配置过程二、环境简介北京区openswan信息Eip 120.92.117.49内网ip 192.168.4.4上海区openswan信息Eip 120.92.172.28内网ip 172.16.1.178注：操作系统使用的是centos7.0三、Openswan配置步骤1.安装openswanyum -y install gmp-devel bison flex gccwget https:///openswan/openswan-2.6.43.1.tar.gz tar zxf openswan-2.6.43.1.tar.gzcd openswan-2.6.43.1make programssudo make install2.启动openswan服务/etc/init.d/ipsec startnetstat -lnput |grep pluto3.Openswan验证ipsec verifyecho 0 > /proc/sys/net/ipv4/conf/all/rp_filterecho 0 > /proc/sys/net/ipv4/conf/default/rp_filterecho 0 > /proc/sys/net/ipv4/conf/eth0/rp_filterecho 0 > /proc/sys/net/ipv4/conf/eth1/rp_filterecho 0 > /proc/sys/net/ipv4/conf/lo/rp_filter4.配置转发vi /etc/sysctl.confnet.ipv4.ip_forward = 1net.ipv4.conf.default.rp_filter = 0sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" '{print$1"= 0"}' >>/etc/sysctl.conf5.配置文件生效sysctl –p注：另一台服务器配置步骤一样6.配置ipsec连接配置文件/etc/ipsec.conf上海区opeswans配置conn sh-to-hkike=3des-sha1authby=secretphase2=espphase2alg=3des-sha1 compress=notype=tunnelpfs=yesleftid=120.92.143.37left=172.16.0.12leftsubnet=172.16.0.0/16 leftnexthop=%defaultroute rightid=104.250.49.104right=104.250.49.104 rightsubnet=10.0.0.0/16 rightnexthop=%defaultrouteauto=start北京区openswan配置conn sh-to-hkike=3des-sha1authby=secretphase2=espphase2alg=3des-sha1 compress=notype=tunnelpfs=yesleftid=120.92.143.37left=172.16.0.12 leftsubnet=172.16.0.0/16 leftnexthop=%defaultroute rightid=104.250.49.104 right=104.250.49.104 rightsubnet=10.0.0.0/16 rightnexthop=%defaultroute auto=start7.设置共享密钥vi /etc/ipsec.secrets0.0.0.00.0.0.0 : PSK "kingsoft"8.配置服务自动启动chkconfig ipsec on9.测试验证ipsec auto --up bj-to-sh两边的openswan内网可以互通10.两边区做路由配置上海区北京区11.测试验证上海区的一台虚拟机可以ping通北京区的一台虚拟机北京区的一台虚拟机可以ping通上海区的一台虚拟机。

如何设置飞鱼星IPSec点对网和网对网Volans公司一直致力于提供智能易用的网络通讯产品与服务，其通过创新技术不断提升网络使用质量，那么你知道如何设置飞鱼星IPSec点对网和网对网吗?下面是店铺整理的一些关于如何设置飞鱼星IPSec点对网和网对网的相关资料，供你参考。

设置飞鱼星IPSec点对网的方法IPSEC 点对网功能，可以实现本地网络与远程PC之间的安全加密互访。

点击选择“是否启用IPSEC Road Warrior 服务”启用该服务。

在“本地网络/ 掩码”处填入与该路由内网地址/ 掩码一致的信息;选择“IKE 验证模式”，默认为“IKE- PSK”;设置“PSK密钥”。

完成以上设置，具体配置情况如下图所示设置飞鱼星IPSec网对网的方法IPSec协议是网络层协议，是为保障IP 通信安全而提供的一系列协议族。

IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。

IPSec 能为IPv4 网络提供能共同使用的、高品质的、基于加密的安全机制。

提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。

IPSEC Net- To - Net的配置方法如下启用IPSEC Net-T o -Net ，并保存，具体配置界面如下图所示：点击“IPSEC Net- To - Net列表”，并添加新规则，具体配置界面如下图所示：名称：IPSec 隧道名，请用英文字母开头。

主动连接：若在两个路由器之间建立IPSEC Net-To -Net隧道，只需在其中一个路由器上启用主动连接即可。

本地隧道接口：选择使用哪个WAN口进行 IPSEC Net-T o-Net连接。

本地网络/掩码：与该路由器的内网网段/掩码一致。

远程隧道地址：对端WAN口的当前IP 地址，也可以填写域名。

远程网络/掩码：与对端路由器的内网网段/掩码一致。