ipsec 配置

IPSec 方案(Virtual Private Network，虚拟专用网)遵循IPSEC国际标准网络构建安全的虚拟专用网络，为用户设计的国际标准系列产品形式IPSec 方案产品用户可以满足各种网络互联网需求，如总部与各分支机构、企业与合作伙伴、移动办公人员的远程接入等，并为这些远程网络中传输的数据提供隐私、完整性、不可否认等安全防护手段。

IPSEC 方案

IPSEC目前，技术实现方案应用广泛，IPSec在等体之间建立连接IPSec 连接方案需要三个步骤。

1) 流量触发IPSec

一般来说，IPSec建立过程是由对等体之间发送的流量触发的。一旦方案流通过方案网关，就开始建立连接过程。当然，这个过程也可以通过手动配置来实现。在配置设备实现这一步之前，网络工程师需要知道需要哪些流量“保护”。

2) 建立管理连接

IPSec使用ISAKMP/IKE阶段1构建安全的管理连接。这里需要注意的是，这种管理连接只是一种准备，不用于传输实际数据。在配置设备实现这一步之前，网络工程师需要明确如何验证设备，使用哪种加密和认证算法，使用哪种DH组等问题。

3) 建立数据连接

IPSec协商建立基于安全管理连接的安全数据连接ISAKMP/IKE阶段2用于完成此任务，数据连接用于传输真实用户数据。在配置设备实现此步骤之前，网络工程师需要明确使用哪些安全协议，以及数据传输模式（隧道模式或传输模式）。

经过IPSec三部曲建立后，方案流量可根据协商结果进行加密/解密。然而，方案连接不是一次性的。管理连接和数据连接都有一个生存周期。一旦到期，连接将终止。如果需要继续传输方案数据，则需要重建连接。这种设计主要是出于安全考虑。