IPSEC配置说明

IPSEC配置说明：

一：DTU配置

DTU>ipsec sw

启动/关闭IPSec隧道功能(0-关闭,1-启动)[0]:1

DTU>ipsec add

请选择IPSec隧道模式(1-网关|网关；2-网关|子网；3-子网|网关；4-子网|子网)[1]:1

请为IPSec隧道命名:gg

请输入预共享密钥:123456

请输入对端网关IP地址:211.96.22.27

DTU>ipsec add

请选择IPSec隧道模式(1-网关|网关 2-网关|子网 3-子网|网关 4-子网|子网)[1]:3

请为IPSec隧道命名:sg

请输入预共享密钥:123456

请输入本端子网地址:138.0.0.139

请输入本端子网掩码数(1-32):32

请输入对端网关IP地址:211.96.22.27

二： 2000 Server配置（注：必须打上SP4的补丁，这样才能支持3des）

1) 使用 MMC 处理“IP 安全策略管理”管理单元（方法是单击“开始”，单击“运行”，然后键入“secpol.msc”或者mmc）。选择控制台里添加/删除管理单元。

2) 点击添加“IP 安全策略管理”，然后选择 “本地计算机上的控制台”，选择完成。

3) 在“IP安全策略，在本地机器”创建IP安全策略。

点击下一步。

5) 创建IP安全策略名称“DTU”。

6) 清除“激活默认响应规则”复选框，然后单击“下一步”。

7) 单击“完成”（使“编辑”复选框保持选中状态）。

8) 清除“使用添加向导”复选框，选择添加。

9) 在IP筛选列表里，点击添加并建立名称为“DTU－专线”。

10) 点击添加，在筛选器属性的寻址－>源地址里选择“一个特定的IP地址”将DTU拨号获得的LOCAL IP 填入此处。并清除镜像复选框。

11) 继续点击添加，在筛选器属性的寻址－>源地址里选择“一个特定的IP子网”，此处为本端PC的IP网段。并清除镜像复选框。

12) 选择筛选器操作，选择添加，在安全措施下选择自定义（专业用户）并将自定义安全措施设置为如图所示。

并选择“回话密钥完全向前保密”。

13) 选择身份验证方法－>选择此字串用来保护密钥交换(预共享密钥)在此输入你想输入的密钥。必须和DTU里设置的一样。

14) 在“隧道设置”里指定专线的IP地址。

15) 在连接类型里选择局域网（LAN）。

16) 同样还在IP筛选列表里，点击添加并建立名称为“专线－DTU”。

17) 点击添加，在筛选器属性的寻址－>目标地址里选择“一个特定的IP地址”将DTU拨号获得的LOCAL IP 填入此处。并清除镜像复选框。

18) 继续点击添加，在筛选器属性的寻址－>目标地址里选择“一个特定的IP地址”，此处为本端PC的IP网段。并清除镜像复选框。

19) 选择筛选器操作，选择添加，在安全措施下选择自定义（专业用户）并将自定义安全措施设置为如图所示。

并选择“回话密钥完全向前保密”。

20) 选择身份验证方法－>选择此字串用来保护密钥交换(预共享密钥)在此输入你想输入的密钥。必须和DTU里设置的一样。

21) 在“隧道设置”里指定的IP地址为DTU拨号获得的LOCAL IP。

22) 在连接类型里选择局域网（LAN）。

3：还要在路由和远程访问里面配置输出和输入筛选器，配置步骤如下：

1). 展开“路由和远程访问”下的服务器树，展开“IP 路由选择”子树，然后单击“常规”。 如下图设置

备注：IP地址指定可以选自动，

1). 展开“路由和远程访问”下的服务器树，展开“IP 路由选择”子树，然后单击“常规”。

2). 右键单击“专线连接”（211.96.22.27），然后单击“属性”。

3). 单击“输出筛选器”，然后单击“添加”。

4). 单击以选中“源网络”和“目标网络”复选框。

5). 在“源网络”区域中，填写“IP 地址”（140.0.0.0）和“子网掩码”（255.255.0.0）。

6). 在“目标网络”区域中，填写“IP 地址”（192.168.1.0）和“子网掩码”（255.255.255.0）。

7). 将协议设置为“任何”，然后单击“确定”。

8). 单击“添加”，然后单击以选中“源网络”和“目标网络”复选框。

9). 在“源网络”区域中，填写“IP 地址”（211.96.22.27）和“子网掩码”（255.255.255.255）。

10). 在“目标网络”区域中，填写“IP 地址”（220.205.205.245，根据当时S1901C拨号的获得的IP地址填写）和“子网掩码” （255.255.255.255）。

11). 将协议设置为“任何”，然后单击“确定”。

12). 单击以选中“丢弃所有的数据包，满足下面条件的除外”复选框，然后单击“确定”。

13). 单击“输入筛选器”，单击“添加”，然后单击以选中“源网络”和“目标网络”复选框。

14). 在“源网络”区域中，填写“IP 地址”（192.168.1.0）和“子网掩码” （255.255.255.0）。

15). 在“目标网络”区域中，填写“IP 地址”（140.0.0.0）和“子网掩码”

（255.255.0.0）。

16). 将协议设置为“任何”，然后单击“确定”。

17). 单击“添加”，然后单击以选中“源网络”和“目标网络”复选框。

18). 在“源网络”区域中，填写“IP 地址” （220.205.205.245，根据当时S1901C拨号的获得的IP地址填写）和“子网掩码”（255.255.255.255）。

19). 在“目标网络”区域中，填写“IP 地址” （211.96.22.27）和“子网掩码” （255.255.255.255）。

20). 将协议设置为“任何”，然后单击“确定”。

21). 单击以选中“丢弃所有的数据包，满足下面条件的除外”复选框，然后单击“确定”两次。 Windows 上配置ipsec的简单说明：

1：首先需支持3des，则2000 Server需SP4的版本

2：配置需配置两个方向的策略

DTU――》专线：链接类型：选择所有网络连接和局域网皆可

此时隧道设置里，隧道终点的IP地址为专线IP地址

身份验证采用预共享密钥

筛选起操作：协商安全，3des md5，选中会话密钥完全向前保密

筛选器列表：可配置4种方式

1）网关《――》网关

此时源地址为一个特定的IP地址，即：DTU IP地址，目标地址为我的IP地址

2）网关《――》子网

此时源地址为一个特定的IP地址，即：DTU IP地址，目标地址为一个特定的子网，即专线后面挂的子网

3）子网《――》网关

此时源地址为一个特定的子网，即DTU 后面挂的子网，目标地址为我的IP地址 4）子网《――》子网

此时源地址为一个特定的子网，即DTU 后面挂的子网，目标地址为一个特定的子网，即：专线后面挂的子网

专线――》DTU：链接类型：选择所有网络连接和局域网皆可

此时隧道设置里，隧道终点的IP地址为DTU IP地址

身份验证采用预共享密钥

筛选起操作：协商安全，3des md5，选中会话密钥完全向前保密

筛选器列表：可配置4种方式

1）网关《――》网关

此时源地址为我的IP地址，目标地址为一个特定的IP地址，即：DTU IP地址

2）网关《――》子网

此时源地址为我的IP地址，目标地址为一个特定的子网，即：DTU 后面挂的子网

3）子网《――》网关

此时源地址为一个特定的子网，即专线后面挂的子网，目标地址为一个特定的IP地址，即DTU IP地址。

4）子网《――》子网

此时源地址为一个特定的子网，即专线后面挂的子网，目标地址为一个特定的子网，即：DTU 后面挂的子网

注意：策略的方向和策略里面筛选器的方向以及隧道终点的方向需一致

三：成功建立IPSec隧道的方法

1：当DTU采用正常方式拨号时（用户名和密码都为card），在配置完上述步骤后，还要做如下配置：

当超级终端上显示如下内容时：

<0>IPSec Setup...

Nov 18 14:13:31 2006 pluto[20]: Starting Pluto (FreeS/WAN Version 2.06 PLUTO_USES_KEYRR)

Nov 18 14:13:39 2006 pluto[20]: pass init crypto.

Nov 18 14:13:39 2006 pluto[20]: listening for IKE messages

Nov 18 14:13:39 2006 pluto[20]: adding interface ipsec0/ppp0 220.207.39.139

Nov 18 14:13:39 2006 pluto[20]: loading secrets from \"/var/ipsec.secrets\"

Nov 18 14:13:39 2006 pluto[20]: added connection description \"gg\"

Nov 18 14:13:39 2006 pluto[20]: added connection description \"sg\"

我们用网口TELNET到DTU。

telnet 138.0.19.1 回车，当出现欢迎界面后，我们输入IPSEC ? 就可以查看到IPSEC命令。

然后启动IPSEC。

Welcome to winbond telnet server!

>>ipsec ?

ipsec [options]

setup name - setup ipsec tunnel 启动IPSEC。 命令如下： Ipsec setup gg/sg/gs/ss

shutdown - shutdown ipsec tunnel DOWN下IPSEC。 Ipsec shutdown **

status - show status of the ipsec tunnel 查看IPSEC信息状态。 Ipsec status **

terminate name - terminate the tunnel named 注销IPSEC,重新建立连接。Ipsec terminate **

delete name - delelte the tunnel named 删除IPSEC连接。 Ipsec Delete **

>>ipsec setup gg

2：当DTU采用VPDN方式拨号时，在做完上述的一和二后不需做其他配置，重启DTU建立VPDN链接后，就可自动建立IPSec隧道。