第一階段IKE(InternetKeyExchange，因特網密鑰交換協議)設置

大多數產商都把這個叫成VPNsGateway

協商模式：

可以選擇主模式(Main)或野蠻模式(Aggressive)。當選擇主模式時，只能使用ip地址作為ID的類型。當用戶端設備的IP地址為動

態獲取的情況時，需要選擇野蠻模式。IKE野蠻模式相對于主模式來說更加靈活，可以選擇根據協商發起端的IP地址或者ID來查找

對應的身份驗證字，并最終完成協商。

驗證方法AH(AuthenticationHeader)：

身份驗證確認通信雙方的身份。目前在IKE提議中，僅可用pre-shared-key身份驗證方法，使用該驗證方法時必須配置身份驗證

字。

加密算法：

1．包括DES和3DES加密算法，

2．DES算法采用56bits的密鑰進行加密；

3．3DES算法采用168bits的密鑰進行加密；

4．AES128(AdvancedEncryptionStandard，即高級加密標準)采用Rijndael中的128bits的密鑰進行加密

5．AES192(AdvancedEncryptionStandard，即高級加密標準)采用Rijndael中的192bits的密鑰進行加密

6．AES256(AdvancedEncryptionStandard，即高級加密標準)采用Rijndael中的256bits的密鑰進行加密

一般來說，密鑰越長的算法強度越高，受保護數據越難被破解，但消耗的計算資源會更多。

Diffie-Hellman組標識(DH)：

用戶可以選擇Group1即768bit或Group2即1024bit。

ISAKMP-SA生存周期：

IKE使用了兩個階段為IPSEC進行密鑰協商并建立安全聯盟。第一階段，通信各方彼此間建立了一個已通過身份驗證和安全保護的

通道，即ISAKMP安全聯盟（ISAKMPSA）；第二階段，用在第一階段建立的安全通道為IPSEC協商安全服務，即為IPSEC協商具

體的安全聯盟，建立IPSECSA，IPSECSA用于最終的IP數據安全傳送。ISAKMP-SA生存周期可以設定為60到604800之間的一

個整數。

定時發送keepAlive報文：

IKE通過ISAKMPSA向對端定時發送Keepalive報文維護該條ISAKMPSA的鏈路狀態。當對端在配置的超時時間內未收到此

Keepalive報文時，如該ISAKMPSA帶有TIMEOUT標記，則刪除該ISAKMPSA及由其協商的IPSECSA；否則，將其標記為

TIMEOUT。

第二階段IPSEC

封裝模式：

包括傳輸模式(Transport)和隧道模式(Tunnel)。從安全性來講，隧道模式優于傳輸模式。它可以完全地對原始IP數據報進行驗證和

加密；此外，可以使用IPSEC對等體的IP地址來隱藏客戶機的IP地址。從性能來講，隧道模式比傳輸模式占用更多帶寬，因為它有

一個額外的IP頭。因此，到底使用哪種模式需要在安全性和性能間進行權衡。

安全聯盟生存周期：

所有在安全策略視圖下沒有單獨配置生存周期的安全聯盟，都采用全局生存周期。IKE（InternetKeyExchange，因特網密鑰交換

協議）為IPSEC協商建立安全聯盟時，采用本地設置的和對端提議的生存周期中較小的一個。安全聯盟生存周期的輸入范圍為

30~604800的整數。

采用的安全協議：

安全提議中需要選擇所采用的安全協議。目前可選的安全協議有AH和ESP，也可指定同時使用AH與ESP。安全隧道兩端所選擇的

安全協議必須一致。

ESP協議加密算法：

ESP能夠對IP報文內容進行加密保護，防止報文內容在傳輸過程中被窺探。加密算法的實現主要通過對稱密鑰系統，即使用相同的

密鑰對數據進行加密和解密。一般來說IPSEC使用兩種加密算法：DES和3DES。

ESP協議及AH協議驗證算法：

AH和ESP都能夠對IP報文的完整性進行驗證，以判別報文在傳輸過程中是否被篡改。一般來說IPSEC使用兩種驗證算法：MD5和

SHA-1。

1．MD5：MD5輸入任意長度的消息，產生128bit的消息摘要。

2．SHA-1：SHA-1輸入長度小于2的64次方比特的消息，產生160bit的消息摘要。SHA-1的摘要長于MD5，因而是更安全的。

使用NAT穿越：

在IPSEC/IKE組建的VPN隧道中，若存在NAT安全網關設備，則必須配置IPSEC/IKE的NAT穿越功能。

【編輯推薦】

1. IPSec VPN快速入門
2. IPSec VPN基本原理
3. IPSec VPN的詳細介紹
4. 基于PSK的IPsec VPN配置