第 6 章 使用 IPsec 配置 VPN

在 RHEL 中，虚拟专用网络(VPN)可以使用 IPsec 协议进行配置，该协议由 Libreswan 应用程序支持。Libreswan 是 Openswan 应用程序的延续，Openswan 文档中的许多示例可以通过 Libreswan 交换。

VPN 的 IPsec 协议使用互联网密钥交换(IKE)协议进行配置。术语 IPsec 和 IKE 可互换使用。IPsec VPN 也称为 IKE VPN、IKEv2 VPN、XAUTH VPN、Cisco VPN 或 IKE/IPsec VPN。IPsec VPN 变体，它使用 Level 2 Tunneling Protocol(L2TP)，被称为 L2TP/IPsec VPN，它需要 optional 软件仓库提供的 xl2tpd 软件包。

libreswan 是一个开源用户空间 IKE 实现。IKE v1 和 v2 作为用户级别的守护进程实现。IKE 协议也加密。IPsec 协议由 Linux 内核实现，Libreswan 配置内核以添加和删除 VPN 隧道配置。

IKE 协议使用 UDP 端口 500 和 4500。IPsec 协议由两个协议组成：

不建议使用 AH 协议。建议将 AH 用户迁移到使用 null 加密的 ESP。

IPsec 协议提供两种操作模式：

您可以用没有 IKE 的 IPsec 来配置内核。这称为 手动键控。您还可以使用 ip xfrm 命令来配置手动密钥，但为了安全起见，强烈建议您不要这样做。Libreswan 使用 Netlink 接口与 Linux 内核进行通信。内核执行数据包加密和解密。

Libreswan 使用网络安全服务 (NSS) 加密库。NSS 认证用于 联邦信息处理标准( FIPS)出版物 140-2。

在 RHEL 中，Libreswan 默认遵循系统范围的加密策略。这样可确保 Libreswan 将当前威胁模型包括（IKEv2）的安全设置用作默认协议。如需更多信息，请参阅 使用系统范围的加密策略。

Libreswan 没有使用术语"源（source）"和"目的地（destination）"或"服务器（server）"和"客户端（client）"，因为 IKE/IPsec 使用对等（peer to peer）协议。相反，它使用术语"左"和"右"来指端点（主机）。这也允许您在大多数情况下在两个端点使用相同的配置。但是，管理员通常选择始终对本地主机使用"左"，对远程主机使用"右"。

leftid 和 rightid 选项充当身份验证过程中相应主机的标识。详情请查看 ipsec.conf(5) 手册页。