1、1IPsec VPN“野蛮模式”配置介绍在 RFC2409(The Internet Key Exchange )中规 定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode ),这里主要介绍“野蛮模式”下 vpn 配置。对于两端 IP 地址不是固定的情况(如 ADSL 拨号上网 ,内置 SIM 卡拨号运营商网络上网),并且双方都希望采用预共享密钥验证方法来创建 IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建 IKE SA,虽然野蛮模式存在一些功能限制,但可以满足某些特定的网络环境需求
2、。例如:远程访问时,如果响应者(服务器端)无法预先知道发起者(终端用户)的地址、或者发起者的地址总在变化,而双方都希望采用预共享密钥验证方法来创建 IKE SA,那么,不进行身份保护的野蛮模式就是唯一可行的交换方法。下面以深信服(SANGFOR)VPN 防火墙做简单配置说明:1、深信服 VPN 服务器防火墙基本配置:图 11:选择“野蛮模式”;22:“我方(本端)身份 ID”和“对方(对端)身份 ID”须一致;3:“我方(本端)身份类型”和“对方(对端身份类型)”选择为“域名字符串(FQDN)”;4:“认证算法”选择“MD5”, “加密算法”选择“3DES”,这两项必须和客户端 IPsec V
3、PN 保持一致,一般默认即可;二、路由器客户端 IPsec VPN 基本配置图 21:填写本地路由器安全组子网;2:填写远程网关 IP,一般为固定公网 IP 地址;3:远程(服务器端)安全组子网;4:其他选项默认即可;3图 31:和 2:项为 IKE,第一协商阶段,各项参数值应保持一致,一般默认即可;3:路由器客户端“预共享秘钥 ”应和服务器端“预共享秘钥 ”保持一致,一般至少字母加数字 6 位;图 441:选择“野蛮模式”;2:IPsec 自定义选项,这里填写“左、右 ID”,应和服务器端保持一致;3、深信服 IPsec VPN 服务器端和路由器客户端 VPN 通道打通时状态显示图 51:SIM 卡拨号网络状态显示;2:IPsec VPN 的 IKE(网络秘钥交换信息)阶段 1 的算法认证、秘钥信息交换、对等体之间的预共享秘钥认证等信息已完成;为第二阶段加密信息认证、交换做准备;3:IKE 第二阶段等待加密数据信息认证、交换;4、IPsec VPN 各子网之间互访所需条件1:服务器端添加到各个客户端子网的远程路由;52:各子网之间相互添加到达对方网络的静态路由,网关指向服务器公网 IP 做数据加密封装处理。
