IPSec 接口配置

在上面的配置文件中，X.X.X.X 要替换为支持 IPsec 的目标路由器的公网 IP 地址。除了以上的选项和指令外，IPSec 接口配置文件中还可以使用以下选择和指令
使用 Fedora/Linux 操作系统，能够轻易的实现 IPSec 接口的配置，以下是一个网络间 IPsec 连接的接口配置文件的示例。它的配置文件名中具备唯一的连接标识符 ipsec，文件的绝对路径类似于 /etc/sysconfig/network-scripts/ifcfg-ipsec1
TYPE=IPsec
 ONBOOT=yes
 IKE_METHOD=PSK
 SRCNET=192.168.1.0/24
 DSTNET=192.168.2.0/24
 DST=X.X.X.X
在上面的配置文件中，X.X.X.X 要替换为支持 IPsec 的目标路由器的公网 IP 地址。除了以上的选项和指令外，IPSec 接口配置文件中还可以使用以下选择和指令：
DST=

 表示支持 IPsec 的目标主机或路由器的 IP 地址，分别用于配置主机对主机和网络对网络间的 IPsec。
DSTNET=

 表示 IPsec 目标网络的网络地址，这个配置只用于网络对网络间的 IPsec
SRC=

 表示使用 IPsec 的源主机或源路由器的 IP 地址，这一选项只能用于主机间的 IPsec 的可选配置。
SRCNET=

 表示使用 IPsec 的源网络的网络地址，这一配置只用于网络间的 IPsec
TYPE=

 的值为 IPSEC，它属于 ipsec-tools 软件包中定义的一部分。
提示：如果 IPsec 使用人工密钥方式进行加密，可参考 /usr/share/doc/initscripts-/sysconfig.txt， 其中  为安装在系统中的 initscripts 软件包的版本号。
racoon IKEv1 密钥管理守护程序为 IPSec 协商并配置一系列参考，它能够使用预定义密钥、RSA 签名或 GSS-API，如果使用 racoon 程序自动管理密钥加密，则要求配置以下附加选项：
IKE_METHOD=

 表示加密方式，它的值为 PSK, X509 或者 GSSAPI。如果值为 PSK，还必须设置 IKE_PSK 选项，如果值为 X509，就必须设置 IKE_CERTFILE 选项。
IKE_PSK=

 为使用 IPsec 两端共享的密钥值，这个值应该保密。
IKE_CERTFILE=

 是对本机有效的 X.509 证书文件
IKE_PEER_CERTFILE=

 是对远程计算机有效的 X.509 证书文件
IKE_DNSSEC=

yes - racoon 守护程序通过 DNS 取得远程计算机的 X.509 证书文件。
如果设置了 IKE_PEER_CERTFILE 选项，就不应该再使用这个选项。
更多有关 IPsec 可用的加密算法的信息，可参考 setkey 的 man 文档。更多有关 racoon 程序的信息，可参考 racoon 和 racoon.conf 文件的 man 文档。