IPSec 接口配置

lugir 于 星期三, 03/17/2010 - 08:58 发布

在上面的配置文件中,X.X.X.X 要替换为支持 IPsec 的目标路由器的公网 IP 地址。除了以上的选项和指令外,IPSec 接口配置文件中还可以使用以下选择和指令

使用 Fedora/Linux 操作系统,能够轻易的实现 IPSec 接口的配置,以下是一个网络间 IPsec 连接的接口配置文件的示例。它的配置文件名中具备唯一的连接标识符 ipsec<N>,文件的绝对路径类似于 /etc/sysconfig/network-scripts/ifcfg-ipsec1

TYPE=IPsec
ONBOOT=yes
IKE_METHOD=PSK
SRCNET=192.168.1.0/24
DSTNET=192.168.2.0/24
DST=X.X.X.X

在上面的配置文件中,X.X.X.X 要替换为支持 IPsec 的目标路由器的公网 IP 地址。除了以上的选项和指令外,IPSec 接口配置文件中还可以使用以下选择和指令:

DST=<address>

<address> 表示支持 IPsec 的目标主机或路由器的 IP 地址,分别用于配置主机对主机和网络对网络间的 IPsec。

DSTNET=<network>

<network> 表示 IPsec 目标网络的网络地址,这个配置只用于网络对网络间的 IPsec

SRC=<address>

<address> 表示使用 IPsec 的源主机或源路由器的 IP 地址,这一选项只能用于主机间的 IPsec 的可选配置。

SRCNET=<network>

<network> 表示使用 IPsec 的源网络的网络地址,这一配置只用于网络间的 IPsec

TYPE=<interface-type>

<interface-type> 的值为 IPSEC,它属于 ipsec-tools 软件包中定义的一部分。

提示:如果 IPsec 使用人工密钥方式进行加密,可参考 /usr/share/doc/initscripts-<version-number>/sysconfig.txt, 其中 <version-number> 为安装在系统中的 initscripts 软件包的版本号。

racoon IKEv1 密钥管理守护程序为 IPSec 协商并配置一系列参考,它能够使用预定义密钥、RSA 签名或 GSS-API,如果使用 racoon 程序自动管理密钥加密,则要求配置以下附加选项:

IKE_METHOD=<encryption-method>

<encryption-method> 表示加密方式,它的值为 PSK, X509 或者 GSSAPI。如果值为 PSK,还必须设置 IKE_PSK 选项,如果值为 X509,就必须设置 IKE_CERTFILE 选项。

IKE_PSK=<shared-key>

<shared-key> 为使用 IPsec 两端共享的密钥值,这个值应该保密。

IKE_CERTFILE=<cert-file>

<cert-file> 是对本机有效的 X.509 证书文件

IKE_PEER_CERTFILE=<cert-file>

<cert-file> 是对远程计算机有效的 X.509 证书文件

IKE_DNSSEC=<yes|no>

yes - racoon 守护程序通过 DNS 取得远程计算机的 X.509 证书文件。

如果设置了 IKE_PEER_CERTFILE 选项,就不应该再使用这个选项。

更多有关 IPsec 可用的加密算法的信息,可参考 setkey 的 man 文档。更多有关 racoon 程序的信息,可参考 racoon 和 racoon.conf 文件的 man 文档。

付费阅读