17.1.3　IPSec VPN的配置步骤

IPSec VPN 的配置步骤如图17-6所示。

图17-6　IPSec VPN 的配置步骤

①检查报文发送方和接收方之间的网络层可达性，双方只有建立IPSec VPN 隧道才能进行IPSec通信。

②定义数据流。因为部分流量无须满足完整性和机密性要求，所以需要对流量进行过滤，选择出需要进行IPSec处理的兴趣流。可以通过配置ACL 来定义和区分不同的数据流。

③配置IPSec安全提议。IPSec安全提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH 和ESP，两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法；ESP支持2种认证算法（MD5和SHA-1）和3种加密算法（DES、3DES和AES）。为了能够正常传输数据流，IPSec隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立IPSec隧道，建议将IPSec封装模式设置为隧道模式，以便隐藏通信使用的实际源IP地址和目的IP地址。

④配置IPSec安全策略。IPSec安全策略中会应用IPSec安全提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec安全策略可分成两类：手动建立SA 的策略和IKE协商建立SA 的策略。

⑤在一个接口上应用IPSec安全策略。