ipsec client 服务老是启动失败,干脆我把它关了,对系统有影响吗

它是一种安全保障方式，假设咱们俩发送信息

用IPSEC保护

这段信息我发送后就被IPSEC加密，到你那边再解密

这样就算中间有人拦截了但是是加密的所以无法读取

WINDOWS2000以上支持IPSEC了

如果你没有这方面的需要，完全可以禁止它自动启动

在比较 IPsec ***与 SSL *** 的之前需要做的第一步是确定组织及其用户的要求，并确定 *** 最重要的特性和功能。

那么通过下面这张图可以直观的看出IPsec ***和 SSL *** 之间的区别，下面的文字内容是加以补充和扩展，更有助于您详细的了解两者之间的区别：

性能：对于现代硬件，IPsec 和 SSL *** 使用的加密类型通常不会导致性能问题，但组织应该使用基准测试来测试 *** 候选者。IPsec *** 使用客户端上的一个软件配置客户端和服务器之间的隧道，这可能需要相对较长的设置过程；通过 Web 浏览器运行的 SSL *** 通常能够更快地建立连接。

安全性：一种类型的 *** 不一定在所有情况下都更安全。确定哪种类型的 *** 更安全的最重要因素是组织基于其 *** 要求的威胁模型。每种 *** 类型都应根据组织要防御的攻击类型进行评估。所使用的加密算法的安全性很重要，但实现的其他组件的安全性也很重要。

数据认证：*** 可以加密所有传输的数据，但它们也可以添加数据认证以防止篡改，通过使用强大的加密认证算法来验证数据在 *** 客户端和服务器之间的传输过程中没有被修改。但是，它们确实需要安全的密钥交换机制来启用身份验证。虽然 SSL/TLS[1] 协议包含密钥交换算法的协商，但 IPsec 依赖外部协议 Internet 密钥交换来实现此目的。

攻击防御：对 IPsec *** 和 SSL *** 的攻击——以及对这些攻击的防御——将根据底层 *** 协议、实现和附加功能而有所不同。IPsec 和 SSL *** 之间的主要区别在于每种协议的端点不同。IPsec *** 通常支持远程访问整个网络以及该网络上提供的所有设备和服务。如果攻击者获得对安全隧道的访问权限，他们可能能够访问专用网络上的任何内容。SSL 支持设备、特定系统和应用程序之间的连接，因此攻击面更加有限。

客户端安全性：虽然 IPsec 协议是 TCP/IP 套件的一部分，但它并不总是作为支持 TCP/IP 的操作系统的默认组件来实现。相比之下，SSL *** 依赖于 TLS，它默认包含在 Web 浏览器中，以及许多其他应用层协议。因此，比较 IPsec 和 SSL *** 应该包括考虑客户端如何连接和使用 ***，以及这些选项的安全性。实施者应考虑客户端如何连接到 ***、启用 *** 的客户端的攻击面和 *** 用户配置文件。

*** 网关：SSL *** 网关可能会启用更精细的配置选项，以限制对受保护网络上特定系统或服务的访问。IPsec *** 产品的网关的可配置性可能要低得多。虽然他们可能添加了数据包过滤功能，使策略或配置能够限制对受保护网络的特定 IP 地址或子集的访问，但应注意避免增加不必要的复杂性和软件附加组件带来的额外安全风险。在任何一种情况下，都可以考虑在网络访问控制系统旁边部署 ***，该系统可以通过基于明确定义的策略限制对网络资源的访问来增强整体安全性。

端到端网络：TLS用于传输层，即在进程之间进行通信的网络层。相比之下，IPsec 在网络层运行，在该层中，具有 IP 地址的网络节点之间进行通信。当受保护的 *** 电路的任一端位于使用网络地址转换 ( NAT) 虚拟化 IP 地址的网络上时，这使得保护端到端加密更加困难。使用 IPsec ***，实现跨 NAT 网关的安全通信需要额外的配置和管理。

虽然 IPsec 和 SSL *** 之间的许多差异可归因于正在实施的底层协议之间的差异，但也应考虑具体的实施。

L2TP+IPSec虚拟专用网

特点：跨平台，数据加密传输，安全

1，部署IPSec服务

1）安装软件包

[root@client ~]# yum -y install libreswan

2)新建IPSec密钥验证配置文件

[root@client ~]# cat /etc/ipsecconf //仅查看一下该主配置文件

include /etc/ipsecd/ conf //加载该目录下的所有配置文件

[root@client ~]# vim /etc/ipsecd/myipsecconf 

//新建该文件，参考lnmp_soft//myipsecconf 

conn IDC-PSK-NAT

rightsubnet=vhost:%priv //允许建立的×××虚拟网络

also=IDC-PSK-noNAT

conn IDC-PSK-noNAT

authby=secret //加密认证

ike=3des-sha1;modp1024 //算法

phase2alg=aes256-sha1;modp2048 //算法

pfs=no

auto=add

keyingtries=3

rekey=no

ikelifetime=8h

keylife=3h

type=transport

left=2011210 //重要，服务器本机的外网IP

leftprotoport=17/1701

right=%any //允许任何客户端连接

rightprotoport=17/%any

3)创建IPSec预定义共享密钥

[root@client ~]# cat /etc/ipsecsecrets //仅查看，不要修改该文件

include /etc/ipsecd/

secrets

[root@client ~]# vim /etc/ipsecd/mypasssecrets //新建该文件

2011210 %any: PSK "randpass" //randpass为预共享密钥

//2011210是×××服务器的IP

4)启动IPSec服务

[root@client ~]# systemctl start ipsec 

[root@client ~]# netstat -ntulp |grep pluto

udp 0 0 127001:4500 0000:  3148/pluto 

udp 0 0 192168410:4500 0000:

 3148/pluto 

udp 0 0 2011210:4500 0000:  3148/pluto 

udp 0 0 127001:500 0000:

 3148/pluto 

udp 0 0 192168410:500 0000:  3148/pluto 

udp 0 0 2011210:500 0000:

 3148/pluto 

udp6 0 0 ::1:500 ::: 3148/pluto

32　部署XL2TP服务

1）安装软件包（软件包参考lnmp_soft）

[root@client ~]# yum localinstall xl2tpd-138-2el7x86_64rpm

2) 修改xl2tp配置文件（修改3个配置文件的内容）

[root@client ~]# vim /etc/xl2tpd/xl2tpdconf //修改主配置文件

[global]

[lns default]

ip range = 1921683128-1921683254 //分配给客户端的IP池

local ip = 2011210 //×××服务器的IP地址

[root@client ~]# vim /etc/ppp/optionsxl2tpd //认证配置

require-mschap-v2 //添加一行，强制要求认证 物联网开发找 上海捌跃网络科技有限公司

#crtscts //注释或删除该行

#lock //注释或删除该行

root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件

jacob  123456  //账户名称 服务器标记 密码 客户端IP

3）启动服务

[root@client ~]# systemctl start xl2tpd

[root@client ~]# netstat -ntulp |grep xl2tpd 

udp 0 0 0000:1701 0000: 3580/xl2tpd

4）设置路由转发，防火墙

[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@client ~]# firewall-cmd --set-default-zone=trusted

5）×××设置（非必需操作）

[root@client ~]# iptables -t nat -A POSTROUTING -s 19216830/24 -j SNAT --to-source 2011210

33客户端设置

1）新建网络连接，输入×××服务器账户与密码。

设置×××连接的属性，预共享密钥是IPSec配置文件中填写的randpass，具体操作如图所示。（高版本不用这么麻烦）

2）设置Windows注册表（不修改注册表，连接×××默认会报789错误），具体操作如下：（win7以上不用操作）

单击"开始"，单击"运行"，键入"regedit"，然后单击"确定"

找到下面的注册表子项，然后单击它：

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters

在"编辑"菜单上，单击"新建"->"DWORD值"

在"名称"框中，键入"ProhibitIpSec"

在"数值数据"框中，键入"1"，然后单击"确定"

退出注册表编辑器，然后重新启动计算机

连接×××并测试网络连通性。

转自：http://blog51ctocom/14050800/2314209