一个网络到网络 IPsec 连接要用两个 IPsec 路由器,一个网络一个,专用分支网络之间的传输就通过这两个路由器建立。
例如,正像 图 3.6 “网络到网络 IPsec” 显示的一样,如果192.168.1.0/24 专用网向 192.168.2.0/24 专用网传输网络业务,数据包会经网关 0 (gateway0)到 ipsec0,再经因特网到 ipsec1,然后到网关 1(gateway1),最后到达 192.168.2.0/24 分支网络。
IPsec 路由器要求有可以公开访问的 IP 地址和第二个以太网(Ethernet)设备连接到相应的专用网上。网络业务只能通过一个 IPsec 路由器到另一个 IPsec 路由器,而且两个路由器之间的传输连接是加密的。
其它网络配置选项包括在各个 IP 路由器和因特网之间设立防火墙,也在每个 IPsec 路由器和分支网络网关之间设立内联网防火墙。IPsec 路由器和分支网络网关可以是同一个系统下的两个以太网(Ethernet)设备:一个有可以公开访问的 IP 地址,用作 IPsec 路由器;而另一个有专用 IP 地址,用作专用分支网络的网关。每个 IPsec 路由器可以在其专用分支网内使用网关,也可以通过公用网关将数据包传送到另一个 IPsec 路由器。
用下列步骤来配置网络到网络 IPsec 连接:
-
在命令 shell 中输入 system-config-network 来启动 Network Administration Tool。
-
在「IPsec」标签页中点击 新建 来启动 IPsec 配置向导。
-
点击 Forward 启动网络到网络 IPsec 连接的配置。
-
为这个连接键入一个独特的名称,比如叫 ipsec0。如需要的话,选择电脑启动时就激活该连接。点击 Forward 继续。
-
连接类型选择 Network to Network encryption (VPN),然后点击 Forward 继续。
-
选择要使用的加密类型:手动加密或自动加密。
如果你选择手动加密,这一进程的后期要提供一个密钥。如果你选择自动加密,racoon 守护进程则会生成密钥。而且如果你要使用自动加密的话,必须安装 ipsec-tools 软件包。
点击 Forward 继续。
-
在 Local Network 页面上键入下面的信息:
-
Local Network Address — 由 IPsec 路由器连接到该专用网上设备的 IP 地址。
-
Local Subnet Mask — 本地网络 IP 地址的分支网络掩码。
-
Local Network Gateway — 专用分支网络的网关。
点击 Forward 继续。
-
-
在 Remote Network 页面上键入下面的信息:
-
Remote IP Address — 连接到 其它 专用网的 IPsec 路由器的可以公开访问的 IP 地址。我们的例子中要为 ipsec0 键入可以公开访问的 IP 地址 ipsec1,反之亦然。
-
Remote Network Address — 其它IPsec 路由器背后的专用分支网的网络地址。我们的例子中,配置 ipsec1 时要键入192.168.1.0,配置 ipsec0 时要键入 192.168.2.0。
-
Remote Subnet Mask — 远程 IP 地址的子网掩码。
-
Remote Network Gateway — 该远程网络地址的网关 IP 地址。
-
如果在 6 步骤中选择手动加密,要指定所使用的密钥,或者点击 Generate 生成一个密钥。
指定一个验证密码或点击 Generate 生成一个验证密码。该密码可以是数字和字母的任意组合。
点击 Forward 继续。
-
-
验证 IPsec — 含总结信息的 页面,然后点击 Apply。
-
选择 File => Save 保存配置。
-
从列表中选择 IPsec 连接,然后点击 Activate 来激活该连接。
-
启动 IP 转发:
-
编辑 /etc/sysctl.conf 并设定 net.ipv4.ip_forward 为 1。
-
用下面的命令使这一改变生效:
[root@myServer ~]# /sbin/sysctl -p /etc/sysctl.conf
-
如果必要的话,激活 IPsec 连接的网络脚本会自动生成通过 IPsec 路由器传输数据包的网络路径。