技术点详解一-IPSec方案部署通过前面儿期的介绍可以发现IPSec所涉及的参数很多，在具体方案部署过程中有许多灵活选择的地方，本期专栏就专门对IPSec在儿种典型环境中的方案部署进行介绍。常规IPSec方案发起方使用固定公网IP地址（响应方指定发起方）IPSecTunnel192.168.1.0/24zm.24配总方窣建议：1.IKE主慢式2.互相指定对缺IPfS址3.预共享玄钥4.磁道懂式5.兴®25tIP192.168.1.0/24今192.168.0.0/24上图所示网络环境是最基本的IPSec应用场景：1.响应方无论在何种环境都是固定的公网地址；2.发起方也是固定的公网地址；3.双方都是用IKE主模式进行协商；4.双方都互相指定对端IP地址，即双方都可以发起协商，没有固定的发起方、响应方；5.双方只能使用隧道模式，因为兴趣流192.168.1.0/24^^192.168.0.0/24和IPSec隧道端点不一致。曲于只有大型企业才有可能为所有分支机构巾请一个固定IP地址，商务领航客户通常是中小型企业，固定地址的情况并不多见，所以该场景更多出现在实验室环境中，在该方案中，如果有多个发起方，那么响应方需要对每个发起方制定IPSec策略。发起方公网地址不固定情况下的IPSec部署多个发起方使用动态公网IP地址(响应方不指定发起方)响应方51议：1.IKE主懂式2.:3.4.5.:发起方建议:J1.IKE主慢式2.指走対空IP地址3.統一预共享老钥4.陋適慢式5.兴色洗IP192.168.1.0/24今192.168.0.0/24上面这个场景比较常见：1.响应方地址固定,如6.16.5.6；2.多个发起方使用动态接入互联网方式，如PPPoE拨号，这种方式中，发起方每次拨号地址有可能不一致，所以在响应方中无法使用指定对端IP地址方式限制对端身份；3.发起方则必须要指定响应方IP,否则无法发起协商；4.双方可以使用预共-亨密钥方式对身份进行确认及保护；5.双方依然只能使用隧道模式；6.兴趣流的指定是比较有意思的事情，发起方是必须要配置兴趣流的，图中只举了一个发起方配IPSecTunnel6.165.6192.168.0.0/24；PPPoE無号连空192.168.2.0/24享对共式畑由置兴趣流的示例，那么响应方呢？响应方没有配置，而是采用山发起方指定的方式，即在协商过程中，响应方得知发起方的兴趣流是192.168.1.0/249192.168.0.0./24,会自动为该响应方生成反向兴趣流192.161.0/24G192.168.0.0./24,那么为什么要这么使用呢？a)发起方地址是动态的；b)响应方无法及时提前获知发起方地址，因此没有指定发起方的IP地址；c)山于响应方的兴趣流爷是与发起方相关的，而响应方中发起方的身份标识是IP地址,故响应方无法提前为发起方指定兴趣流；C1)替代方法就是响应方在协商过程中，动态地识别发起方，并接受发起方的兴趣流;三.部分发起方通过NAT网关连接到互联网e)这种方式还能在响应方配置工作带来简化，不需要为每个发起方制定IPSec策略。:发起方逮议：!1.IKEIHNBC—1NA*F--123.友起172.16.1.2Sparta心192.168.2.0/24响应方51议:1.2.3.4.5.【KE—JNAT9垃不指走对妹IP地址统一次共享M钥fiEiiHI式J激nJLiACNAT^激指走对錨IP地址统一预共享空钥嚴道橫式兴範SKIP192.1681.0/24今郎分发起方通过NAT网关连接到互联网(响应方不指定发起方)IPSecTunnel3192.168.1.01242.17.0.2'Crixus6.16.5.6192.168.0.0/24TheokolesInternet2.17.0.3172.16-1.15.6.在上图中，有部分发起方躲在NAT网关后面连接互联网，如发起方Spartacus,在这种情况下,我们的IPSec方案该如何制定呢？1.大体上和方案二类似；2.IKE协商模式要修改成野蛮模式(AggressiveMode)；3.需要在IKE协商模式中打开NAT穿越，目前大部分厂家实现中，NAT穿越都变成默认选项。针对这种发起方地址动态变化的情况，还有一个相对来说更加安全的解决方案，即响应方需要指定发起方。6165.6192.168.0.0/24Theokoles2.17.0.2Crixus192.168.40/24PPPoE茨号:诉；2.3.4.5.6.IKEHSHI式NA1V12指走对嬢名字魅這慢式兴禺泡P192.168.1.0/24192.168.0.0/24192.168.2.0/24发起方建议：1IKESMMK2.NAT5越3.4.5.6.7.指走対JSIP地址ts定对離名字统一预共享密钥辰道横式兴垣潼1P192.168.1.0/24今部分发起方通过NAT网关连接到互联网（响应方憎定发起方）IPSecTunnelInternet响应方建议:172.16.1.1?17・0.3—--172.16.1.2Spartacus我...