關(guān)于IPSec配置步驟的VPN配置說明書，現(xiàn)在使用VPN配置說明書用戶是越來越多了，對(duì)VPN配置說明書維護(hù)也成了一個(gè)不容忽視的問題。只有維護(hù)保養(yǎng)好它，不但讓你的“寬帶之旅”省心又省力，還能延長其壽命。

1．VPN配置說明書配置IKE 策略（policy）

policy就是上圖中的IKE策略。Policy里面的內(nèi)容有hash算法、加密算法、D-H組、生存時(shí)間?？梢耘渲枚鄠€(gè)policy，只要對(duì)端有一個(gè)相同的，雙方就可以采用該policy，不過要主要policy中的認(rèn)證方式，因?yàn)檎J(rèn)證方式的不同會(huì)影響后續(xù)的配置不同。一般采用預(yù)共享（preshare）。在目前的安全路由器和VPN3020上的實(shí)現(xiàn)上都有默認(rèn)的配置選項(xiàng)，也就是說如果你新增加一條策略后，即使什么都不配置，退出后，也會(huì)有默認(rèn)值的。

2．VPN配置說明書配置預(yù)共享密鑰（preshare）

在配置預(yù)共享密鑰的時(shí)候，需要選擇是IP地址還是Hostname來標(biāo)識(shí)該密鑰，如果對(duì)端是IP地址標(biāo)識(shí)身份，就采用IP地址來標(biāo)識(shí)密鑰；如果對(duì)端是Hostname來標(biāo)識(shí)身份，則采用hostname來標(biāo)識(shí)密鑰。

3．VPN配置說明書配置本端標(biāo)識(shí)（localid）

本端標(biāo)識(shí)有IP地址和Hostname，在安全路由器上，默認(rèn)的是用IP地址來標(biāo)識(shí)。即不配置本端標(biāo)識(shí)，就表示是用IP地址來標(biāo)識(shí)。以上三個(gè)步驟就完成IKE的配置，以下是IPSec的配置：

4．VPN配置說明書配置數(shù)據(jù)流（access-list）

很容易理解，部署任何VPN配置說明書都需要對(duì)數(shù)據(jù)流所限制，不可能對(duì)所有的數(shù)據(jù)流都進(jìn)行加密（any to any）。配置好數(shù)據(jù)流后，在加密映射（map）中引用該數(shù)據(jù)流。

5．VPN配置說明書配置變換集合（transform-set）

變換集合是某個(gè)對(duì)等方能接受的一組IPSec協(xié)議和密碼學(xué)算法。雙方只要一致即可。注意，在VPN3020和帶加密模塊的安全路由器上支持國密辦的SSP02算法。

6．VPN配置說明書配置加密映射（map）

為IPSec創(chuàng)建的加密映射條目使得用于建立IPSec安全聯(lián)盟的各個(gè)部件協(xié)調(diào)工作，它包括以下部分：
◆所要保護(hù)的數(shù)據(jù)流（引用步驟4所配置的數(shù)據(jù)流）
◆對(duì)端的IP地址（這個(gè)是必須的，除非是動(dòng)態(tài)加密映射，見本文后面的章節(jié)）
◆對(duì)所要保護(hù)的數(shù)據(jù)流采用什么加密算法和采用什么安全協(xié)議（引用步驟5所配置的變換集合）
◆是否需要支持PFS（雙方要一致）
◆SA的生存時(shí)間（是可選的，不配置的話有默認(rèn)值）

7．VPN配置說明書應(yīng)用（激活）加密映射

在安全路由器上是將該加密映射應(yīng)用到接口上去，而在VPN3020上是激活（active）該map。

動(dòng)態(tài)加密映射技術(shù)

目前，安全路由器系列和VPN配置說明書系列均支持動(dòng)態(tài)加密映射。什么是動(dòng)態(tài)加密映射？動(dòng)態(tài)加密映射所應(yīng)用的環(huán)境是什么呢？我們可以從以下的一個(gè)案例中來說明動(dòng)態(tài)加密映射的概念。如下圖：在上圖的網(wǎng)絡(luò)拓?fù)渲?，MP803接入Internet的并不是寬帶接入（固定IP地址），而是在通過電信ADSL撥號(hào)來獲取到IP地址，不是固定的IP地址。

這時(shí)候，對(duì)于上端MP2600A來說，就存在問題了，回想一下前面所描述的配置步驟，在步驟六中配置加密映射的時(shí)候，需要配置對(duì)端的peer IP地址，這時(shí)候怎么辦呢？或許您想到——那我每次撥號(hào)獲取到IP地址后，再在兩端來配置IPSec——這種解決辦法是OK的，只要客戶或者您自己容忍每次MP803重新?lián)芴?hào)后，您重新去更改配置。顯然，這樣方法充其量只能用來測(cè)試的。

動(dòng)態(tài)加密映射就是用來解決這類問題的。顧名思義，動(dòng)態(tài)加密映射，就是說，在配置加密映射的時(shí)候，不需要配置對(duì)端的peer IP地址。目前，安全路由器和VPN配置說明書系列都支持動(dòng)態(tài)加密映射，但由于兩者實(shí)現(xiàn)上的差異，導(dǎo)致他們?cè)谂渲脛?dòng)態(tài)加密映射的時(shí)候存在一些不同，在后文的實(shí)際配置案例中會(huì)講到。

NAT穿越略述

NAT穿越是指在兩臺(tái)VPN配置說明書網(wǎng)關(guān)之間的還存在NAT設(shè)備，從原理來說，NAT和IPSec存在一定的矛盾。主要體現(xiàn)兩點(diǎn)：NAT更改了IP數(shù)據(jù)包的IP源地址或者目的地址，這與IPSec協(xié)議中的AH認(rèn)證頭協(xié)議存在不可調(diào)和的矛盾，因此如果IPSec報(bào)文需要穿越NAT設(shè)備的話，在配置變換集合的時(shí)候就不能選用AH協(xié)議（目前，由于ESP協(xié)議也提供驗(yàn)證功能，AH使用很少）；

第二點(diǎn)是NAT設(shè)備的端口地址轉(zhuǎn)換是針對(duì)TCP/UDP/ICMP等協(xié)議。對(duì)于ESP協(xié)議，沒有相應(yīng)的處理機(jī)制。具體詳細(xì)資料請(qǐng)查看IETF的草案。此外，NAT穿越目前還沒有國際標(biāo)準(zhǔn)，公司在國內(nèi)率先實(shí)現(xiàn)了NAT穿越功能。目前，公司的安全路由器、VPN3020等都已經(jīng)實(shí)現(xiàn)了NAT穿越。NAT穿越對(duì)于路由器和VPN3020上的配置沒有任何的改變。目前，公司的北京辦和總部的互聯(lián)的兩臺(tái)路由器建立隧道就是穿越了NAT。