關于IPSec配置步驟的VPN配置說明書，現在使用VPN配置說明書用戶是越來越多了，對VPN配置說明書維護也成了一個不容忽視的問題。只有維護保養(yǎng)好它，不但讓你的“寬帶之旅”省心又省力，還能延長其壽命。

1．VPN配置說明書配置IKE 策略（policy）

policy就是上圖中的IKE策略。Policy里面的內容有hash算法、加密算法、D-H組、生存時間。可以配置多個policy，只要對端有一個相同的，雙方就可以采用該policy，不過要主要policy中的認證方式，因為認證方式的不同會影響后續(xù)的配置不同。一般采用預共享（preshare）。在目前的安全路由器和VPN3020上的實現上都有默認的配置選項，也就是說如果你新增加一條策略后，即使什么都不配置，退出后，也會有默認值的。

2．VPN配置說明書配置預共享密鑰（preshare）

在配置預共享密鑰的時候，需要選擇是IP地址還是Hostname來標識該密鑰，如果對端是IP地址標識身份，就采用IP地址來標識密鑰；如果對端是Hostname來標識身份，則采用hostname來標識密鑰。

3．VPN配置說明書配置本端標識（localid）

本端標識有IP地址和Hostname，在安全路由器上，默認的是用IP地址來標識。即不配置本端標識，就表示是用IP地址來標識。以上三個步驟就完成IKE的配置，以下是IPSec的配置：

4．VPN配置說明書配置數據流（access-list）

很容易理解，部署任何VPN配置說明書都需要對數據流所限制，不可能對所有的數據流都進行加密（any to any）。配置好數據流后，在加密映射（map）中引用該數據流。

5．VPN配置說明書配置變換集合（transform-set）

變換集合是某個對等方能接受的一組IPSec協議和密碼學算法。雙方只要一致即可。注意，在VPN3020和帶加密模塊的安全路由器上支持國密辦的SSP02算法。

6．VPN配置說明書配置加密映射（map）

為IPSec創(chuàng)建的加密映射條目使得用于建立IPSec安全聯盟的各個部件協調工作，它包括以下部分：
◆所要保護的數據流（引用步驟4所配置的數據流）
◆對端的IP地址（這個是必須的，除非是動態(tài)加密映射，見本文后面的章節(jié)）
◆對所要保護的數據流采用什么加密算法和采用什么安全協議（引用步驟5所配置的變換集合）
◆是否需要支持PFS（雙方要一致）
◆SA的生存時間（是可選的，不配置的話有默認值）

7．VPN配置說明書應用（激活）加密映射

在安全路由器上是將該加密映射應用到接口上去，而在VPN3020上是激活（active）該map。

動態(tài)加密映射技術

目前，安全路由器系列和VPN配置說明書系列均支持動態(tài)加密映射。什么是動態(tài)加密映射？動態(tài)加密映射所應用的環(huán)境是什么呢？我們可以從以下的一個案例中來說明動態(tài)加密映射的概念。如下圖：在上圖的網絡拓撲中，MP803接入Internet的并不是寬帶接入（固定IP地址），而是在通過電信ADSL撥號來獲取到IP地址，不是固定的IP地址。

這時候，對于上端MP2600A來說，就存在問題了，回想一下前面所描述的配置步驟，在步驟六中配置加密映射的時候，需要配置對端的peer IP地址，這時候怎么辦呢？或許您想到——那我每次撥號獲取到IP地址后，再在兩端來配置IPSec——這種解決辦法是OK的，只要客戶或者您自己容忍每次MP803重新撥號后，您重新去更改配置。顯然，這樣方法充其量只能用來測試的。

動態(tài)加密映射就是用來解決這類問題的。顧名思義，動態(tài)加密映射，就是說，在配置加密映射的時候，不需要配置對端的peer IP地址。目前，安全路由器和VPN配置說明書系列都支持動態(tài)加密映射，但由于兩者實現上的差異，導致他們在配置動態(tài)加密映射的時候存在一些不同，在后文的實際配置案例中會講到。

NAT穿越略述

NAT穿越是指在兩臺VPN配置說明書網關之間的還存在NAT設備，從原理來說，NAT和IPSec存在一定的矛盾。主要體現兩點：NAT更改了IP數據包的IP源地址或者目的地址，這與IPSec協議中的AH認證頭協議存在不可調和的矛盾，因此如果IPSec報文需要穿越NAT設備的話，在配置變換集合的時候就不能選用AH協議（目前，由于ESP協議也提供驗證功能，AH使用很少）；

第二點是NAT設備的端口地址轉換是針對TCP/UDP/ICMP等協議。對于ESP協議，沒有相應的處理機制。具體詳細資料請查看IETF的草案。此外，NAT穿越目前還沒有國際標準，公司在國內率先實現了NAT穿越功能。目前，公司的安全路由器、VPN3020等都已經實現了NAT穿越。NAT穿越對于路由器和VPN3020上的配置沒有任何的改變。目前，公司的北京辦和總部的互聯的兩臺路由器建立隧道就是穿越了NAT。