为移动系统配置 IKEv1
IPsec 和 IKE 要求用唯一 ID 标识源和目标。对于没有唯一 IP 地址的站点外系统或移动系统,必须使用其他 ID 类型。可以使用诸如 DNS、DN 或 email 之类的 ID 类型唯一地标识系统。
对于具有唯一 IP 地址的站点外系统或移动系统,最好也应使用其他 ID 类型进行配置。例如,如果系统尝试从 NAT 盒 (NAT box) 之后连接到中心站点,则不会使用它们的唯一地址。NAT 盒 (NAT box) 指定一个中心系统无法识别的任意 IP 地址。
预先共享的密钥也不太适合用作移动系统的验证机制,因为预先共享的密钥需要固定的 IP 地址。通过使用自签名证书或来自 CA 的证书,移动系统可以与中心站点通信。
以下任务列表列出了配置 IKEv1 以处理远程登录到中心站点的系统的过程。
表 10-2 为移动系统配置 IKEv1 任务列表
|
|
|
|
从站点外与中心站点进行通信。
|
允许站点外系统与中心站点进行通信。站点外系统可能是移动系统。
|
|
|
在接受来自移动系统的通信的中心系统上使用 CA 的公共证书和 IKEv1。
|
将网关系统配置为接受来自没有固定 IP 地址的系统的 IPsec 流量。
|
|
|
在没有固定 IP 地址的系统上使用 CA 的公共证书和 IKEv1。
|
将移动系统配置为保护它传输到中心站点(如公司总部)的流量。
|
|
|
在接受来自移动系统的通信的中心系统上使用自签名证书和 IKEv1。
|
使用自签名证书配置网关系统,以接受来自移动系统的 IPsec 流量。
|
|
|
在没有固定 IP 地址的系统上使用自签名证书和 IKEv1。
|
使用自签名证书配置移动系统,以保护它传输到中心站点的流量。
|
|
|