/etc/racoon/racoon.conf 文件在所有 IPsec 节点上应该是完全一样的,只有一个 例外,那就是 include "/etc/racoon/X.X.X.X.conf" 声明。这个声明(以及它相关的文件)是在 IPsec 隧道被激活时生成的。 对工作站 A 来说,include 声明中的X.X.X.X 是工作站 B 的 IP 地址。反过来则是工作站 B 的 IP 地址。下面显示的是当 IPsec 连接被激活时生成的 racoon.conf 的典型文件。
# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf";
这个默认的 racoon.conf 文件包括 IPsec 配置定义好的路径、事先选好的共享密钥文件和证书。 sainfo anonymous 中的字段描述IPsec 节点之间的第二阶段 SA — 、IPsec 连接的性质(包括所用的加密算法)和交换密钥的方法。下面的列表定义第二阶段的各项字段:
表明 SA 可以在匿名状态下启动任何同级设备,只要其IPsec 资格相匹配。
定义 Diffie-Hellman 密钥交换协议,该协议决定使用什么方法使 IPsec 节点之间建立相互的临时会话密码,以便进行 IPsec 第二阶段的连接。默认情况下,红帽企业 Linux 实施 IPsec 使用 Diffie-Hellman 密码密钥交换组中的组 2(group 2)(或 modp1024)。组 2 使用 1024 比特模运算方式,这种方式可以防止袭击者们试图破解在此之前传输的 IPsec 信息,即使他们找到一个有效密码而进入也无济于事。
这个参数指定一个以时间或以字节数来量化的 SA 寿命。默认 红帽企业 Linux时 IPsec 规定其寿命是一个小时。
指定所支持的进行第二阶段的加密暗号 红帽企业 Linux 支持 3DES,448-bit Blowfish, 和 Rijndael(在 Advanced Encryption Standard 或 AES 中使用的密码)。
列出所支持的为身份验证而进行的散列算法。所支持的方式是 sha1 和 md5 散列讯息验证码(HMAC)。
为 IP Payload Compression (IPCOMP) 支持设备定义 Deflate 压缩算法,这样能在传输比较慢的连接上潜在地加速 IP 数据报的传输。
要开始连接,在各个主机上运行下面的命令:
[root@myServer ~]# /sbin/ifup <nickname>
其中 <nickname> 即是你为这个IPsec 连接指定的名称。
要测试 IPsec 连接,执行 tcpdump 命令来查看传输在主机之间的网络数据包,并验证该连接是通过 IPsec 进行加密的。这个数据包应该包括一个 AH 标题,并且显示是 ESP 数据包,ESP 意味着是加密的。例如:
[root@myServer ~]# tcpdump -n -i eth0 host <targetSystem> IP 172.16.45.107 > 172.16.44.192: AH(spi=0x0954ccb6,seq=0xbb): ESP(spi=0x0c9f2164,seq=0xbb)