Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

具有 Autokey IKE 配置的 IPsec VPN 概述

 

IPsec VPN 协商分两个阶段进行。在第1阶段,参与者建立了一个用于协商 IPsec 安全关联(SA)的安全通道。在第2阶段,参与者协商 IPsec SA 以验证将流经隧道的信息流。

本概述介绍使用 autokey IKE (预共享密钥或证书)配置基于路由或基于策略的 IPsec VPN 的基本步骤。

要使用 autokey IKE 配置基于路由或基于策略的 IPsec VPN:

  1. 配置接口、安全区域和通讯簿信息。

    (用于基于路由的 Vpn)配置安全隧道 st0 接口。在设备上配置路由。

  2. 配置 IPsec VPN 隧道的第1阶段。
    1. 必配置自定义 IKE 阶段1建议。此步骤是可选的,因为您可以使用预定义 IKE 阶段1建议集(标准、兼容或基本)。
    2. 配置 IKE 策略,它引用您的自定义 IKE 阶段1建议或预定义的 IKE 阶段1建议集。指定 autokey IKE 预共享密钥或证书信息。为阶段1交换指定模式(主或主动)。
    3. 配置引用 IKE 策略的 IKE 网关。指定本地和远程设备的 IKE Id。如果远程网关的 IP 地址未知,请指定如何识别远程网关。
  3. 配置 IPsec VPN 隧道的第2阶段。
    1. 必配置自定义 IPsec 阶段2建议。此步骤是可选的,因为您可以使用预定义的 IPsec 阶段2建议集(标准、兼容或基本)。
    2. 配置引用您的自定义 IPsec 阶段2建议或预定义 IPsec 阶段2建议集的 IPsec 策略。指定完全向前保密(PFS)密钥。
    3. 配置同时引用 IKE 网关和 IPsec 策略的 IPsec VPN 隧道。指定要在阶段2协商中使用的代理 Id。

      (用于基于路由的 Vpn)将安全通道接口 st0 x 绑定到 IPsec VPN 隧道。

  4. 配置安全策略以允许从源区域到目标区域的信息流。

    (用于基于策略的 Vpn)使用您配置的 IPsec tunnel ipsec-vpn VPN 隧道的名称指定安全策略操作。

  5. 更新您的全局 VPN 设置。