ipsecvpn配置名词解释

第一阶段 IKE(Internet Key Exchange，因特网密钥交换协议)设置

大多数产商都把这个叫成VPNs Gateway协商模式：可以选择主模式(Main)或野蛮模式(Aggressive)。当选择主模式时，只能使用ip地址作为ID的类型。当用户端设备的IP地址为动

态获取的情况时，需要选择野蛮模式。IKE野蛮模式相对于主模式来说更加灵活，可以选择根据协商发起端的IP地址或者ID来查找

对应的身份验证字，并最终完成协商。验证方法AH(Authentication Header)：

身份验证确认通信双方的身份。目前在IKE提议中，仅可用pre-shared-key身份验证方法，使用该验证方法时必须配置身份验证

字。加密算法：

1．包括DES和3DES加密算法，

2．DES算法采用56 bits的密钥进行加密； 3．3DES算法采用168bits的密钥进行加密；

4．AES128(Advanced Encryption Standard，即高级加密标准)采用Rijndael中的128bits的密钥进行加密

5．AES192(Advanced Encryption Standard，即高级加密标准)采用Rijndael中的192bits的密钥进行加密

6． AES256(Advanced Encryption Standard，即高级加密标准)采用Rijndael中的256bits的密钥进行加密

一般来说，密钥越长的算法强度越高，受保护数据越难被破解，但消耗的计算资源会更多。Diffie-Hellman组标识(DH)：用户可以选择Group1即768bit或Group2即1024bit。ISAKMP-SA生存周期：

IKE使用了两个阶段为IPSEC进行密钥协商并建立安全联盟。第一阶段，通信各方彼此间建立了一个已通过身份验证和安全保护的

通道，即ISAKMP安全联盟（ISAKMP SA）；第二阶段，用在第一阶段建立的安全通道为IPSEC协商安全服务，即为IPSEC协商具

体的安全联盟，建立IPSEC SA，IPSEC SA用于最终的IP数据安全传送。ISAKMP-SA生存周期可以设定为60到604800之间的一

个整数。定时发送keepAlive报文：

IKE通过ISAKMP SA向对端定时发送Keepalive报文维护该条ISAKMP SA的链路状态。当对端在配置的超时时间内未收到此

Keepalive报文时，如该ISAKMP SA带有TIMEOUT标记，

则删除该ISAKMP SA及由其协商的IPSEC SA；否则，将其标记为

TIMEOUT。第二阶段IPSEC封装模式：

包括传输模式(Transport)和隧道模式(Tunnel)。从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和

加密；此外，可以使用IPSEC对等体的IP地址来隐藏客户机的IP地址。从性能来讲，隧道模式比传输模式占用更多带宽，因为它有

一个额外的IP头。因此，到底使用哪种模式需要在安全性和性能间进行权衡。安全联盟生存周期：

所有在安全策略视图下没有单独配置生存周期的安全联盟，都采用全局生存周期。IKE（Internet Key Exchange，因特网密钥交换

协议）为IPSEC协商建立安全联盟时，采用本地设置的和对端提议的生存周期中较小的一个。安全联盟生存周期的输入范围为

30~604800的整数。采用的安全协议：

安全提议中需要选择所采用的安全协议。目前可选的安全协议有AH和ESP，也可指定同时使用AH与ESP。安全隧道两端所选择的

安全协议必须一致。ESP协议加密算法：