Red Hat Training

A Red Hat training course is available for RHEL 8

第 4 章 使用 IPsec 配置 VPN

在 Red Hat Enterprise Linux 8 中,可以使用 IPsec 协议配置虚拟专用网络(VPN),该协议受到 Libreswan 应用程序的支持。

4.1. libreswan 作为 IPsec VPN 的实现

在 Red Hat Enterprise Linux 8 中,可以使用 IPsec 协议配置虚拟专用网络(VPN),该协议受到 Libreswan 应用程序的支持。LibreswanOpenswan 应用的延续,Openswan 文档中的 许多示例可与 Libreswan 互换。

VPN 的 IPsec 协议使用互联网密钥交换(IKE)协议进行配置。术语 IPsec 和 IKE 可互换使用。IPsec VPN 也称为 IKE VPN、IKEv2 VPN、XAUTH VPN、Cisco VPN 或 IKE/IPsec VPN。使用级别 2 隧道协议(L2TP)的 IPsec VPN 变体通常称为 L2TP/IPsec VPN,这需要可选通道 xl2tpd 应用程序。

Libreswan 是一种开源用户空间 IKE 实施。IKE v1 和 v2 作为用户级守护进程实施。IKE 协议也加密。IPsec 协议由 Linux 内核实施,Libreswan 配置内核以添加和删除 VPN 隧道配置。

TheIKE 协议使用 UDP 端口 500 和 4500。IPsec 协议由两个协议组成:

  • 封装的安全支付(ESP),其协议编号为 50。
  • 经过身份验证的标头(AH),其协议编号为 51。

不建议使用 AH 协议。建议 AH 用户迁移到使用 null 加密的 ESP

IPsec 协议提供了两种操作模式:

  • 隧道模式 (默认)
  • 传输模式.

您可以用没有 IKE 的 IPsec 来配置内核。这称为 手动密钥。您还可以使用 ip xfrm 命令配置手动密钥,但为了安全起见,强烈建议您这样做。Libreswan 使用 netlink 与 Linux 内核接口.在 Linux 内核中进行数据包加密和解密。

libreswan 使用网络安全服务(NSS)加密库。LibreswanNSS 均通过 联邦信息处理标准 (FIPS)出版物 140-2 认证。

重要

Libreswan 和 Linux 内核实施的 IKE/IPsec VPN 是 Red Hat Enterprise Linux 8 中推荐使用的唯一 VPN 技术。在不了解这样做风险的情况下不要使用任何其他 VPN 技术。

在 Red Hat Enterprise Linux 8 中,Libreswan 默认遵循 系统范围的加密策略。这样可确保 Libreswan 将 安全设置用于当前威胁模型,包括 IKEv2 作为默认协议。如需更多信息,请参阅使用系统范围的加密策略

Libreswan 不使用术语"来源"和"目标"或"服务器"和"客户端",因为 IKE/IPsec 对等协议。相反,它使用术语"左"和"right"指点(主机)。这也允许您在大多数情况下在两个端点使用相同的配置。但是,管理员通常选择始终对本地主机使用"左转",而"右"用于远程主机。