IPSec 接口配置
在上面的配置文件中,X.X.X.X 要替换为支持 IPsec 的目标路由器的公网 IP 地址。除了以上的选项和指令外,IPSec 接口配置文件中还可以使用以下选择和指令
使用 Fedora/Linux 操作系统,能够轻易的实现 IPSec 接口的配置,以下是一个网络间 IPsec 连接的接口配置文件的示例。它的配置文件名中具备唯一的连接标识符 ipsec<N>,文件的绝对路径类似于 /etc/sysconfig/network-scripts/ifcfg-ipsec1
在上面的配置文件中,X.X.X.X 要替换为支持 IPsec 的目标路由器的公网 IP 地址。除了以上的选项和指令外,IPSec 接口配置文件中还可以使用以下选择和指令:
DST=<address>
<address> 表示支持 IPsec 的目标主机或路由器的 IP 地址,分别用于配置主机对主机和网络对网络间的 IPsec。
DSTNET=<network>
<network> 表示 IPsec 目标网络的网络地址,这个配置只用于网络对网络间的 IPsec
SRC=<address>
<address> 表示使用 IPsec 的源主机或源路由器的 IP 地址,这一选项只能用于主机间的 IPsec 的可选配置。
SRCNET=<network>
<network> 表示使用 IPsec 的源网络的网络地址,这一配置只用于网络间的 IPsec
TYPE=<interface-type>
<interface-type> 的值为 IPSEC,它属于 ipsec-tools 软件包中定义的一部分。
racoon IKEv1 密钥管理守护程序为 IPSec 协商并配置一系列参考,它能够使用预定义密钥、RSA 签名或 GSS-API,如果使用 racoon 程序自动管理密钥加密,则要求配置以下附加选项:
IKE_METHOD=<encryption-method>
<encryption-method> 表示加密方式,它的值为 PSK, X509 或者 GSSAPI。如果值为 PSK,还必须设置 IKE_PSK 选项,如果值为 X509,就必须设置 IKE_CERTFILE 选项。
IKE_PSK=<shared-key>
<shared-key> 为使用 IPsec 两端共享的密钥值,这个值应该保密。
IKE_CERTFILE=<cert-file>
<cert-file> 是对本机有效的 X.509 证书文件
IKE_PEER_CERTFILE=<cert-file>
<cert-file> 是对远程计算机有效的 X.509 证书文件
IKE_DNSSEC=<yes|no>
yes - racoon 守护程序通过 DNS 取得远程计算机的 X.509 证书文件。
如果设置了 IKE_PEER_CERTFILE 选项,就不应该再使用这个选项。