利用IKE构建企业虚拟网(二)

　　 实施IPSec前，必须解释一下isakmpd的配置文件和策略文件，因为对它们的理解关系到能否正确实施VPN。这两个文件是isakmpd.conf和isakmpd.policy，分别对应IPSec的SADB和SPD。isakmpd.conf主要描述了建立IKE SA和IPSec SA所需的必要参数；isakmpd.policy策略文件控制哪些安全主机或VPN网关可以与本机建立SA，以及建立什么样的SA。下面就常用的一些配置项加以解释，更详细的信息请查阅相关帮助手册。

　　 配置文件isakmpd.conf采用.ini格式，每小节以[section]形式开始，在小节内可以将值赋予一个tag：

　　 [section]

　　 tag=value

　　 如果value很长，可以在行尾使用“\”续行。以“#”开头的行是注释行。通常右边的值是其它section的名字。对于一些特殊的小节，section都有预定义的默认值，如“General”、“Keynote”、“X509-certificates”和“Default-phase-1-configuration”。一些预定义的section名可以被isakmpd进程识别，这样可以避免完全详细描述主模式的转换码和快速模式的套件、协议及转换码。

　　 对于主模式：

　　 {DES,BLF,3DES,CAST}-{MD5,SHA}[-GRP{1,2,5}][-{DSS,RSA_SIG}]

　　 对于快速模式：

　　 　　　QM-{proto}[-TRP]-{cipher}[-{hash}][-PFS[-{group}]]-SUITE

　　 其中{proto}可为ESP或AH；{cipher}可为DES、3DES、CAST、BLF或AES；{hash}可为MD5、SHA或RIPEMD；{group}可为GRP1、GRP2或GRP5。

　　 例如，3DES-SHA表示3DES加密、SHA哈希和预共享密钥认证。这些自动生成的值可以在配置文件中使用相同的section名和tag名将其重新设置。

　　 为了让大家对该配置文件有个感性认识，以一个采用预共享密钥认证的简单配置文件为例来说明（如图1示）。该文件的最右端以