搭建ipsec实验环境（如何搭建ipsec服务器）

对比华三设备配置,讲解Linux主机如何配置strongSwan

1、配置方式：华三设备通常通过命令行界面或Web界面进行配置，而strongSwan主要通过编辑配置文件进行。配置内容：华三设备配置IPsec时，可能涉及更多的网络策略、路由设置等，而strongSwan的配置更专注于IKE和IPsec SA的协商参数。

2、第二阶段建立IPsec SA，配置感兴趣流ACL、加密模式、加密算法和报文封装模式。strongSwan默认使用ESP，加密验证算法为aes128-sha256，支持隧道模式。对于Linux主机，配置完成后启动strongSwan服务并设置开机自启，通过Host1向Host2发起ping测试，验证配置效果。

3、首先，观察配置strongSwan后未建立IPsec SA的状态。与已建立IKE SA和IPsec SA的状态进行对比。状态与设备配置的状态相似。SA即安全联盟，swan[]中1代表一阶段IKE SA，2代表二阶段IPsec SA。Connections表示对等体信息，前三行是IKE对等体信息，最后一行child是IPsec连接，模式为TUNNEL隧道模式。

查看strongSwan配置IPsec的报文交互过程,捎带测一下转发性能

1、对调服务器和客户端进行测试，即Host2作为服务器时，测得带宽为03 Gbps。总结：strongSwan配置IPsec的报文交互过程包括IKE SA和IPsec SA的建立，其中IKE SA建立涉及安全策略协商、密钥交换和身份认证等步骤。在转发性能测试中，Linux主机作为strongSwan网关表现出了较高的转发性能，但在某些情况下CPU利用率可能较高，需要根据具体应用场景进行优化。

2、基于路由的VPN会自动协商建立IKE SA，业务流量转发时快速进入第二阶段，使用第一阶段建立的IKE SA为IPsec协商安全服务SA，建立IPsec SA。掌握这些后，可配置strongSwan和华三设备的对接。测试Linux主机（4核CPU、4 GB内存）作为strongSwan网关的转发性能。

3、在VSR上，确保IPsec的配置支持通过NAT设备进行连接。这可能涉及到调整相关的安全策略或访问控制列表，以确保NAT转换后的流量能够被正确识别和处理。strongSwan配置调整：IKEv1野蛮模式：配置strongSwan使用IKEv1的野蛮模式进行交互。这通常需要在ipsec.conf文件中设置相应的IKE和ESP参数，以启用野蛮模式。

没有nat穿越可以建立ipsec吗

1、没有NAT穿越也可以建立IPsec。但具体是否能够实现取决于网络环境和需求。IPsec的基本建立 IPsec是一种网络协议，用于在两个通信实体之间建立加密的、安全的通信通道。在配置IPsec-VPN连接实现本地数据中心与VPC互通的过程中，可以创建IPsec连接以建立这种加密通信通道。

2、进入VPN创建向导在FGT45的【VPN创建向导】页面，选择模板类型为【自定义】，然后点击【下一步】。隧道配置 网络配置 IKE对等体信息：配置对端网关使用IPv4静态IP地址（例如23），出接口选择port2。NAT穿越：由于两台网关之间没有NAT设备，选择禁用NAT穿越。其他配置：保持默认设置。

3、两边都是NAT穿越时无法建立IPSec隧道，主要是由于NAT配置与IPSec安全策略冲突、IKE和IPSec安全提议配置不匹配、NAT设备影响以及路由配置错误等原因导致的。

动态ip的ipsec配置

1、动态IP的IPSec配置主要涉及明确参数、确定网络范围、配置IPSec隧道、配置路由以及测试和故障排除等步骤。 明确参数：在进行IPSec配置之前，需要明确一系列参数，包括本地和远程IP地址及其子网掩码、PSK（预共享密钥）或证书用于身份验证和密钥交换、加密和身份验证算法以及密钥长度、安全关联（SA）参数等。

2、在群晖上正确配置 L2TP/IPSec 动态 IP 地址设置：在群晖的 VPN 配置中，为 L2TP/IPSec 选择一个动态 IP 地址。

3、IPSec提议：配置IPSec提议，选择封装模式、ESP加密算法和认证算法。IPSec策略：配置IPSec策略，将IPSec提议与ACL（访问控制列表）关联，定义需要保护的流量。配置隧道接口 在华三设备上配置隧道接口，指定隧道的源地址和目的地址。

4、设置对等体地址：指定与本地路由器建立IKE连接的对等体IP地址。配置预共享密钥：如果采用预共享密钥认证，需设置与对等体相同的密钥。配置身份认证信息：确保对等体的身份被正确验证。 配置IPsec安全提议 选择封装模式：隧道模式或传输模式，根据实际需求选择。

5、配置 LAN-to-LAN IPSec VPN 包括配置 NAPT、IPSec 专用 ACL、IKE 和 IPSec 第二阶段、接口上的 IPSec 启用，以及添加静态路由条目。配置完成后，通过测试验证两地内网主机可以通过加密方式互访。

ipsec使用多少端口

IPsec主要使用500端口和4500端口。具体说明如下：500端口IPsec的建立过程中，一个关键环节是进行IKE（Internet Key Exchange，互联网密钥交换）的协商。IKE用于在IPsec通信双方之间安全地协商和交换密钥材料、安全参数等信息，从而建立起安全的IPsec通道。

IPsec使用的端口主要包括UDP 500和UDP 4500（有时为了NAT穿越需要）。以下是详细解释：IKE协议端口：UDP 500：IPsec中的IKE（Internet Key Exchange）协议主要负责密钥的交换和管理。这一协议使用UDP协议的500端口进行通信。IKE协议是IPsec安全策略协商和密钥交换的基础，确保双方能够安全地建立加密通道。

在vowifi测试中，某客户遇到关于ipsec 500和4500端口的问题。这些问题涉及到IPSEC的两个关键端口：500端口是ISAKMP端口，4500端口用于UDP封装的ESP和IKE。以下是对这些问题的详细解释。

常见IPsec VPN所使用的通讯协议是UDP协议，和端口号是UDP500和UDP4500。IPsec VPN使用UDP通讯协议，通过内部的vpn节点发起一个udp连接，再封装一次ipsec，送到对方，因为udp可以通过防火墙进行记忆，通过udp再封装的ipsec 包，可以通过防火墙来回传递。

端口：IKEv2工作在UDP的500/4500端口，其中NAT-T使用的是UDP 4500端口。IKEv2的协商过程 IKEv2的协商过程相比IKEv1更为简化。

除了协议号50，IPSec还需要放通其他关键协议和端口：AH协议（认证头，Authentication Header）：使用IP协议号51，提供数据完整性验证和认证功能，但不加密数据。虽然AH的使用频率低于ESP，但在某些需要强认证的场景中仍会用到。

华为静态IPSEC-AH认证

1、在实际网络环境中，通常采用IPSEC-ESP协议，但本实验选择AH协议，其主要原因是AH协议仅提供验证功能而未加密数据，从而便于观察验证过程。后续实验将转向使用ESP协议。

2、登录华为防火墙设备的WEB管理界面。在导航栏中选择“网络 IPsec”，然后选择新建IPsec策略。基本配置：命名IPsec策略，选择出接口为本端接口。设置本端地址为出接口的公网IP，对端地址为对端VPN网关的IP。认证方式选择预共享密钥，并确保密钥信息与对端配置一致。本端ID及对端ID均选择IP地址。

3、IPSec安全机制、AH和ESP报头格式、两种封装模式以及隧道建立原理。配置基于ACL方式手工建立IPSec隧道的详细步骤，包括配置任务、数据传输流程、定义需要保护的数据流、配置安全提议、策略、可选功能和隧道维护。分析基于ACL方式手工建立IPSec隧道的典型故障排除，涉及隧道建立失败和两端仍不能通信的情况。