如何查看ipsecl2tpd 服务器的证书认证模式

什么是 IPsec？

IPsec 是 虚拟私密网络（***） 的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换金钥建立连接，使用互联网金钥交换（ike）协议; 第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。参考：维基百科 IPsec 词条。

其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段 ike 协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。

第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃; 要么完全不懂，照抄。

设备/操作系统规格

这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。

Linux

命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。

但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。

Android

Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec *** 配置模式可供选择。

iOS/Mac OS X

它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。

该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。

iOS 6 还有一个「衔尾」故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后「加密」发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco *** stop working after upgrading to IOS 6

　　Active Directory® 目录服务概念，包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用。

　　身份验证概念，包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。

　　Microsoft Windows® 系统安全; 安全概念，如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念，如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。

　　了解 TCP/IP 概念，包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语，如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。

　　了解安全风险管理规则。

　　注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是，Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导，这意味着现在可以使用这些方案。

　　多播和广播通信流仍然无法使用 IPsec，但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。

　　组织先决条件

　　规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人:

　　公司所有者

　　用户组代表

　　安全和审核人员

　　风险管理组

　　Active Directory 工程、管理和操作人员

　　DNS、Web 服务器以及网络工程、管理和操作人员

　　注:根据 IT 组织结构的不同，这些角色可能由几个不同的人担当，或有较少的人跨越几个角色。

　　服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。需要进行广泛输入时，有可担当此项目的主要联系人的资深人士是很有益的，如支持人员或在部署中会受影响的用户。在复杂项目中出现问题的两个主要原因是规划不好和通信差。