تكوين عميل واحد إلى شبكة ظاهرية خاصة (VPN) على سلسلة موجهات RV320 و RV325 VPN

خيارات التنزيل

PDF (4.2 MB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (3.9 MB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (1.5 MB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٣ ديسمبر ٢٠١٨

معرّف المستند:SMB4288

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

الهدف

الهدف من هذا المستند هو توضيح كيفية تكوين عميل واحد لعبارة الشبكة الخاصة الظاهرية (VPN) على موجهات RV32x Series VPN.

المقدمة

الشبكة الخاصة الظاهرية (VPN) هي شبكة خاصة تستخدم لتوصيل مستخدم بعيد فعليا من خلال شبكة عامة. أحد أنواع شبكة VPN هو شبكة VPN من عميل إلى عبارة. شبكة VPN من عميل إلى عبارة عبارة عبارة عن اتصال بين مستخدم بعيد والشبكة. تم تكوين العميل في جهاز المستخدم باستخدام برنامج عميل شبكة VPN. وهو يسمح للمستخدمين بالاتصال بالشبكة عن بعد بشكل آمن.

الأجهزة القابلة للتطبيق

موجه VPN RV320 بشبكة WAN مزدوجة
الموجه RV325 Gigabit WAN VPN Router

إصدار البرامج

v1.1.0.09

تكوين عميل واحد إلى بوابة VPN

الخطوة 1. قم بتسجيل الدخول إلى الأداة المساعدة لتكوين الويب واختر VPN > Client to Gateway. يتم فتح صفحة عميل إلى عبارة:

الخطوة 2. طقطقت النفق لاسلكي زر أن يضيف نفق وحيد لعميل أن مدخل VPN.

إضافة نفق جديد

ملاحظة: النفق رقم - يمثل رقم النفق. يتم إنشاء هذا الرقم تلقائيا.

الخطوة 1. أدخل اسم النفق في حقل اسم النفق.

الخطوة 2. أخترت القارن من خلال أي الزبون بعيد ينفذ ال VPN من القارن قائمة ميلان إلى جانب.

الخطوة 3. أخترت الوضع مناسب من المفتاح إدارة أن يضمن أمن من ال keying أسلوب قائمة ميلان إلى جانب. الوضع الافتراضي هو IKE باستخدام المفتاح المشترك مسبقا.

يتم تحديد الخيارات على النحو التالي:

يدوي - وضع أمان مخصص لإنشاء مفتاح أمان جديد بنفسك وعدم التفاوض مع المفتاح. وهو الأفضل للاستخدام أثناء أستكشاف الأخطاء وإصلاحها أو في بيئة ثابتة صغيرة.
IKE باستخدام المفتاح المشترك مسبقا - يتم إستخدام بروتوكول تبادل مفتاح الإنترنت (IKE) لإنشاء مفتاح مشترك مسبقا واستبداله تلقائيا لإنشاء اتصال مصدق عليه للنفق.
IKE with Certificate - بروتوكول تبادل مفتاح الإنترنت (IKE) مع الشهادة هو طريقة أكثر أمانا لإنشاء المفاتيح التي تم إرسالها مسبقا وتبادلها تلقائيا لإنشاء اتصال أكثر أمانا للنفق.

الخطوة 4. حدد خانة الاختيار تمكين لتمكين العميل من بوابة VPN. هو مكنت افتراضيا.

الخطوة 5. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد المجموعة المحلية

إعداد المجموعة المحلية باستخدام Manual أو IKE باستخدام المفتاح المشترك مسبقا

ملاحظة: اتبع الخطوات التالية إذا أخترت اليدوي أو IKE باستخدام المفتاح المشترك مسبقا من القائمة المنسدلة وضع keying في الخطوة 3 من قسم إضافة نفق جديد.

الخطوة 1. أختر طريقة تعريف الموجه المناسبة من القائمة المنسدلة عبارة الأمان المحلية لإنشاء نفق VPN.

يتم تحديد الخيارات على النحو التالي:

IP فقط - يمكن الوصول إلى النفق من خلال IP ساكن إستاتيكي لشبكة WAN فقط. أنت يستطيع أخترت هذا خيار إن فقط المسحاج تخديد يتلقى أي ساكن إستاتيكي wan IP. يتم إنشاء عنوان IP الثابت لشبكة WAN تلقائيا.
مصادقة IP + اسم المجال (FQDN) - يمكن الوصول إلى النفق من خلال عنوان IP ثابت ومجال مسجل. إذا أخترت هذا الخيار، فأدخل اسم المجال المسجل في حقل اسم المجال. يتم إنشاء عنوان IP الثابت لشبكة WAN تلقائيا.
مصادقة IP + عنوان البريد الإلكتروني (FQDN للمستخدم) - يمكن الوصول إلى النفق من خلال عنوان IP ثابت وعنوان بريد إلكتروني. إذا أخترت هذا الخيار، أدخل عنوان البريد الإلكتروني في حقل عنوان البريد الإلكتروني. يتم إنشاء عنوان IP الثابت لشبكة WAN تلقائيا.
المصادقة الديناميكية ل IP + اسم المجال (FQDN) — يمكن الوصول إلى النفق من خلال عنوان IP ديناميكي ومجال مسجل. إذا أخترت هذا الخيار، فأدخل اسم المجال المسجل في حقل اسم المجال.
مصادقة IP + عنوان البريد الإلكتروني الديناميكي (FQDN للمستخدم) - يمكن الوصول إلى النفق من خلال عنوان IP ديناميكي وعنوان بريد إلكتروني. إذا أخترت هذا الخيار، أدخل عنوان البريد الإلكتروني في حقل عنوان البريد الإلكتروني.
عنوان IP - يمثل عنوان IP الخاص بواجهة WAN. إنه حقل للقراءة فقط.

الخطوة 2. أختر مستخدم شبكة LAN المحلي المناسب أو مجموعة المستخدمين الذين يمكنهم الوصول إلى نفق VPN من القائمة المنسدلة نوع مجموعة الأمان المحلية. الإعداد الافتراضي هو الشبكة الفرعية.

IP - يمكن لجهاز LAN واحد محدد الوصول إلى النفق. إن يختار أنت هذا خيار، دخلت العنوان من ال lan أداة في العنوان مجال. عنوان IP الافتراضي هو 192.168.1.0.
الشبكة الفرعية - يمكن لجميع أجهزة LAN على شبكة فرعية معينة الوصول إلى النفق. إذا أخترت هذا الخيار، فأدخل عنوان IP وقناع الشبكة الفرعية لأجهزة الشبكة المحلية في حقل عنوان IP وقناع الشبكة الفرعية على التوالي. القناع الافتراضي هو 255.255.255.0.
نطاق IP - يمكن لنطاق أجهزة شبكة LAN الوصول إلى النفق. إذا أخترت هذا الخيار، أدخل عنوان IP البداية والنهاية في حقلي بدء IP ونهاية IP على التوالي. النطاق الافتراضي هو من 192.168.1.0 إلى 192.168.1.254.

الخطوة 3. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد المجموعة المحلية باستخدام IKE مع شهادة ل Tunnel VPN

ملاحظة: اتبع الخطوات التالية إذا أخترت IKE بشهادة من القائمة المنسدلة وضع التعبئة في الخطوة 3 من قسم إضافة نفق جديد.

نوع عبارة الأمان المحلية - يمكن الوصول إلى النفق من خلال IP باستخدام شهادة.
عنوان IP - يمثل عنوان IP الخاص بواجهة WAN. إنه حقل للقراءة فقط.

الخطوة 1. أختر الشهادة المحلية المناسبة لتعريف الموجه من القائمة المنسدلة للشهادة المحلية. انقر على إنشاء ذاتي لإنشاء الشهادة تلقائيا أو انقر على إستيراد شهادة لاستيراد شهادة جديدة.

ملاحظة: لمعرفة المزيد حول كيفية إنشاء الشهادات تلقائيا، ارجع إلى إنشاء الشهادات على موجهات RV320، ولمعرفة كيفية إستيراد الشهادات، ارجع إلى تكوين شهادتي على موجهات RV320.

الخطوة 2. أختر النوع المناسب لمستخدم شبكة LAN المحلية أو مجموعة المستخدمين الذين يمكنهم الوصول إلى نفق VPN من القائمة المنسدلة نوع مجموعة الأمان المحلية. الإعداد الافتراضي هو الشبكة الفرعية.

IP - يمكن لجهاز LAN واحد محدد الوصول إلى النفق. إن يختار أنت هذا خيار، دخلت العنوان من ال lan أداة في العنوان مجال. عنوان IP الافتراضي هو 192.168.1.0.
الشبكة الفرعية - يمكن لجميع أجهزة LAN على شبكة فرعية معينة الوصول إلى النفق. إذا أخترت هذا الخيار، فأدخل عنوان IP وقناع الشبكة الفرعية لأجهزة الشبكة المحلية في حقل عنوان IP وقناع الشبكة الفرعية على التوالي. القناع الافتراضي هو 255.255.255.0.
نطاق IP - يمكن لنطاق أجهزة شبكة LAN الوصول إلى النفق. إذا أخترت هذا الخيار، فأدخل عنوان IP للبداية والنهاية في حقلي بدء IP ونهاية IP على التوالي. النطاق الافتراضي هو من 192.168.1.0 إلى 192.168.1.254.

الخطوة 3. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد العميل البعيد

إعداد العميل عن بعد باستخدام Manual أو IKE باستخدام المفتاح المشترك مسبقا

الخطوة 1. أختر أسلوب تعريف العميل المناسب لإنشاء نفق VPN من القائمة المنسدلة عبارة الأمان عن بعد. الافتراضي هو IP فقط.

IP فقط - يمكن الوصول إلى النفق من خلال WAN IP الثابت للعميل فقط. أنت يستطيع أخترت هذا خيار فقط إن يعرف أنت الساكن إستاتيكي WAN IP أو domain name من الزبون. أختر عنوان IP من القائمة المنسدلة وأدخل عنوان IP الثابت للعميل في الحقل المجاور، أو أختر IP بواسطة DNS الذي تم تحليله من القائمة المنسدلة وأدخل اسم المجال لعنوان IP في الحقل المجاور. من خلال خادم DNS المحلي لعنوان IP، يمكن للموجه إسترداد عنوان IP تلقائيا.

ملاحظة: إذا قمت باختيار يدوي من القائمة المنسدلة وضع الربط في الخطوة 3 في قسم إضافة نفق جديد عبر النفق أو مجموعة VPN، فهذا سيكون الخيار الوحيد المتاح.

مصادقة IP + اسم المجال (FQDN) - يمكن الوصول إلى النفق من خلال عنوان IP ثابت للعميل ومجال مسجل. إذا أخترت هذا الخيار، فأدخل اسم المجال المسجل في حقل اسم المجال. أختر عنوان IP من القائمة المنسدلة وأدخل عنوان IP الثابت للعميل في الحقل المجاور، أو أختر IP بواسطة DNS الذي تم تحليله من القائمة المنسدلة وأدخل اسم المجال لعنوان IP في الحقل المجاور. من خلال خادم DNS المحلي لعنوان IP، يمكن للموجه إسترداد عنوان IP تلقائيا.
مصادقة IP + عنوان البريد الإلكتروني (FQDN للمستخدم) - يمكن الوصول إلى النفق من خلال عنوان IP ثابت للعميل وعنوان بريد إلكتروني. إذا أخترت هذا الخيار، قم بإدخال عنوان البريد الإلكتروني في حقل عنوان البريد الإلكتروني. أختر عنوان IP من القائمة المنسدلة وأدخل عنوان IP الثابت للعميل في الحقل المجاور، أو أختر IP بواسطة DNS الذي تم تحليله من القائمة المنسدلة وأدخل اسم المجال لعنوان IP في الحقل المجاور. من خلال خادم DNS المحلي لعنوان IP، يمكن للموجه إسترداد عنوان IP تلقائيا.
المصادقة الديناميكية ل IP + اسم المجال (FQDN) - يمكن الوصول إلى النفق من خلال عنوان IP ديناميكي للعميل ومجال مسجل. إذا أخترت هذا الخيار، فأدخل اسم المجال المسجل في حقل اسم المجال.
مصادقة IP + عنوان البريد الإلكتروني الديناميكي (FQDN للمستخدم) - يمكن الوصول إلى النفق من خلال عنوان IP ديناميكي للعميل وعنوان بريد إلكتروني. إذا أخترت هذا الخيار، قم بإدخال عنوان البريد الإلكتروني في حقل عنوان البريد الإلكتروني.

الخطوة 2. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد المجموعة البعيدة باستخدام IKE مع الشهادة

نوع عبارة الأمان عن بعد - يمكن التعرف على العميل من خلال IP باستخدام شهادة لإنشاء اتصال VPN.

الخطوة 1. أخترت عنوان أو IP ب DNS يحل من القائمة المنسدلة.

عنوان IP - يمكن الوصول إلى النفق من خلال WAN IP الثابت للعميل فقط. أنت يستطيع أخترت هذا خيار فقط إن يعرف أنت الإستاتيكي WAN IP من الزبون. دخلت ال ip ساكن إستاتيكي من الزبون في العنوان مجال.
IP بواسطة DNS الذي تم حله - يكون مفيدا إذا لم تكن تعرف عنوان IP الخاص بالعميل ولكنك تعرف مجال عنوان IP هذا. أدخل اسم مجال عنوان IP. من خلال خادم DNS المحلي لعنوان IP، يمكن للموجه إسترداد عنوان IP تلقائيا.

الخطوة 2. أختر الشهادة البعيدة المناسبة من القائمة المنسدلة الشهادة البعيدة. انقر على إستيراد شهادة عن بعد لاستيراد شهادة جديدة أو انقر على تخويل CSR لتعريف الشهادة بطلب توقيع رقمي.

ملاحظة: إذا كنت تريد معرفة المزيد حول كيفية إستيراد شهادة جديدة، ارجع إلى عرض/إضافة شهادة SSL موثوقة على موجهات RV320، ولمعرفة المزيد حول CSR المعتمدة، ارجع إلى طلب توقيع الشهادة (CSR) على موجهات RV320.

الخطوة 3. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد IPSec

إعداد IPSec باستخدام المفتاح اليدوي

ملاحظة: اتبع الخطوات التالية إذا أخترت دليلا من القائمة المنسدلة وضع التعبئة في الخطوة 3 من قسم إضافة نفق جديد.

الخطوة 1. أدخل القيمة السداسية العشرية الفريدة لفهرس معلمات الأمان الواردة (SPI) في حقل SPI الوارد. يتم نقل واجهة برمجة التطبيقات (SPI) في رأس بروتوكول حمولة الأمان التضمين (ESP)، والذي يحدد معا اقتران الأمان (SA) للحزمة الواردة. النطاق هو 100 إلى وضع، مع كون الافتراضي 100.

الخطوة 2. أدخل القيمة السداسية العشرية الفريدة لفهرس معلمات الأمان الصادرة (SPI) في حقل SPI الصادر. يتم نقل واجهة برمجة التطبيقات (SPI) في تضمين رأس بروتوكول حمولة الأمان (ESP) الذي يحدد معا اقتران الأمان (SA) للحزمة الصادرة. النطاق هو 100 إلى وضع، مع كون الافتراضي 100.

ملاحظة: يجب أن تتطابق SPI الوارد الخاص بالجهاز المتصل وSPI الصادر الخاص بالطرف الآخر من النفق لإنشاء نفق.

الخطوة 3. أختر أسلوب التشفير المناسب من القائمة المنسدلة التشفير. التشفير الموصى به هو 3DES. يحتاج نفق VPN إلى إستخدام نفس طريقة التشفير لكل من طرفيه.

DES - معيار تشفير البيانات (DES) هو أسلوب تشفير قديم متوافق مع الإصدارات السابقة إصدار 56 بت وهو ليس آمنا بنفس القدر.
3DES - معيار تشفير البيانات الثلاثي (3DES) هو طريقة تشفير بسيطة 168 بت لزيادة حجم المفتاح من خلال تشفير البيانات لثلاث مرات مما يوفر المزيد من الأمان ثم DES.

الخطوة 4. أختر أسلوب المصادقة المناسب من القائمة المنسدلة المصادقة. المصادقة الموصى بها هي SHA1. يحتاج نفق VPN إلى إستخدام طريقة المصادقة نفسها لكل من طرفيه.

MD5 - خوارزمية ملخص الرسالة-5 (MD5) تمثل وظيفة تجزئة سداسية عشرية مكونة من 32 رقما توفر الحماية للبيانات من الهجوم الضار بواسطة حساب المجموع الاختباري.
SHA1 - خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت وهي أكثر أمانا من MD5.

الخطوة 5. أدخل المفتاح لتشفير البيانات وفك تشفيرها في حقل مفتاح التشفير. إذا أخترت أسلوب تشفير DES كأسلوب تشفير في الخطوة 3، فأدخل قيمة سداسية عشرية مكونة من 16 رقما. إذا أخترت طريقة تشفير 3DES في الخطوة 3، فأدخل قيمة سداسية عشرية ذات 40 رقما.

الخطوة 6. أدخل مفتاح مشترك مسبقا لمصادقة حركة المرور في حقل مفتاح المصادقة. إذا أخترت MD5 كطريقة مصادقة في الخطوة 4، فأدخل قيمة سداسية عشرية مكونة من 32 رقما. إذا أخترت SHA كطريقة مصادقة في الخطوة 4، فأدخل قيمة سداسية عشرية ذات 40 رقما. يحتاج نفق VPN إلى إستخدام نفس المفتاح المشترك مسبقا لكلا طرفيه.

الخطوة 7. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد IPSec باستخدام IKE مع المفتاح المشترك مسبقا أو IKE مع الشهادة

ملاحظة: اتبع الخطوات التالية إذا أخترت IKE باستخدام مفتاح مشترك مسبقا أو IKE بشهادة من القائمة المنسدلة وضع تنشيط النقل في الخطوة 3 من قسم إضافة نفق جديد.

الخطوة 1. أختر مجموعة DH المناسبة للمرحلة 1 من القائمة المنسدلة لمرحلة 1 من مجموعة DH. تستخدم المرحلة الأولى لإنشاء إرتباط الأمان المنطقي البسيط بين طرفي النفق لدعم الاتصال الصحيح الآمن. Diffie-Hellman (DH) هو بروتوكول تبادل مفاتيح مشفر يتم إستخدامه أثناء اتصال المرحلة الأولى لمشاركة المفتاح السري لمصادقة الاتصال.

المجموعة 1 - 768 بت - تمثل المفتاح الأقل متانة ومجموعة المصادقة الأقل أمانا. ولكنها تحتاج إلى وقت أقل لحساب مفاتيح IKE. يفضل أن تكون سرعة الشبكة منخفضة.
المجموعة 2 - 1024 بت - تمثل مفتاح زيادة متانة ومجموعة مصادقة أكثر أمانا. لكنها تحتاج لبعض الوقت لحساب مفاتيح IKE.
المجموعة 5 - 1536 بت - تمثل أعلى مفتاح متانة ومجموعة المصادقة الأكثر أمانا. تحتاج إلى مزيد من الوقت لحساب مفاتيح IKE. يفضل لو كانت سرعة الشبكة عالية.

الخطوة 2. أختر تشفير المرحلة 1 المناسب لتشفير المفتاح من القائمة المنسدلة لتشفير المرحلة 1. يوصى باستخدام AES-256 لأنه أكثر طرق التشفير أمانا. يحتاج نفق VPN إلى إستخدام نفس طريقة التشفير لكل من طرفيه.

DES - معيار تشفير البيانات (DES) هو 56 بت، وهو أسلوب تشفير قديم لا يمثل أسلوب تشفير آمن كثيرا.
3DES - معيار تشفير البيانات الثلاثي (3DES) هو طريقة تشفير بسيطة 168 بت لزيادة حجم المفتاح من خلال تشفير البيانات لثلاث مرات مما يوفر المزيد من الأمان ثم DES.
AES-128 - معيار التشفير المتقدم (AES) هو طريقة تشفير 128 بت تعمل على تحويل النص العادي إلى نص تشفير عبر 10 دورات من التكرار.
AES-192 - معيار التشفير المتقدم (AES) هو طريقة تشفير 192 بت تعمل على تحويل النص العادي إلى نص تشفير عبر 12 دورة من التكرار.
AES-256 - معيار التشفير المتقدم (AES) هو طريقة تشفير 256 بت تعمل على تحويل النص العادي إلى نص تشفير عبر 14 دورة من التكرار.

الخطوة 3. أختر أسلوب المصادقة المناسب من القائمة المنسدلة لمصادقة المرحلة الأولى. يحتاج نفق VPN إلى إستخدام طريقة المصادقة نفسها لكل من طرفيه.

MD5 - خوارزمية ملخص الرسالة-5 (MD5) تمثل دالة تجزئة سداسية عشرية مكونة من 32 رقما توفر الحماية للبيانات من الهجوم الضار بواسطة حساب المجموع الاختباري.
SHA1 - خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت وهي أكثر أمانا من MD5.

الخطوة 4. أدخل مقدار الوقت بالثواني، في المرحلة 1، ويظل نفق VPN نشطا في حقل فترة حياة المرحلة 1 SA. الوقت الافتراضي هو 28800 ثانية.

الخطوة 5. حدد خانة الاختيار Perfect Forward Secret لتوفير المزيد من الحماية للمفاتيح. يسمح هذا الخيار بإنشاء مفتاح جديد في حالة أختراق أي مفتاح. لا يتم أختراق البيانات المشفرة إلا من خلال المفتاح الذي تم إختراقه. لذلك فإنه يوفر اتصالا أكثر أمانا ومصادقة لأنه يؤمن المفاتيح الأخرى بالرغم من أختراق مفتاح ما. هذا إجراء موصى به لأنه يوفر المزيد من الأمان.

الخطوة 6. أختر مجموعة DH المناسبة للمرحلة 2 من القائمة المنسدلة الخاصة بمجموعة DH للمرحلة الثانية. يتم إستخدام المرحلة 1 لإنشاء إرتباط الأمان المنطقي البسيط (SA) بين طرفي النفق لدعم الاتصال الآمن المصدق. Diffie-Hellman (DH) هو بروتوكول تبادل مفاتيح مشفر يتم إستخدامه أثناء اتصال المرحلة الأولى لمشاركة المفتاح السري لمصادقة الاتصال.

المجموعة 1 - 768 بت - تمثل المفتاح الأقل متانة ومجموعة المصادقة الأقل أمانا. ولكنها تحتاج إلى وقت أقل لحساب مفاتيح IKE. يفضل أن تكون سرعة الشبكة منخفضة.
المجموعة 2 - 1024 بت - تمثل مفتاح زيادة متانة ومجموعة مصادقة أكثر أمانا. لكنها تحتاج لبعض الوقت لحساب مفاتيح IKE.
المجموعة 5 - 1536 بت - تمثل أعلى مفتاح متانة ومجموعة المصادقة الأكثر أمانا. تحتاج إلى مزيد من الوقت لحساب مفاتيح IKE. يفضل لو كانت سرعة الشبكة عالية.

الخطوة 7. أختر تشفير المرحلة 2 المناسب لتشفير المفتاح من القائمة المنسدلة لتشفير المرحلة 2. يوصى باستخدام AES-256 لأنه أكثر طرق التشفير أمانا. يحتاج نفق VPN إلى إستخدام نفس طريقة التشفير لكل من طرفيه.

DES - معيار تشفير البيانات (DES) هو 56 بت، وهو أسلوب تشفير قديم لا يمثل أسلوب تشفير آمن كثيرا.
3DES - معيار تشفير البيانات الثلاثي (3DES) هو طريقة تشفير بسيطة 168 بت لزيادة حجم المفتاح من خلال تشفير البيانات لثلاث مرات مما يوفر المزيد من الأمان ثم DES.
AES-128 - معيار التشفير المتقدم (AES) هو طريقة تشفير 128 بت تعمل على تحويل النص العادي إلى نص تشفير من خلال تكرارات 10 دورات.
AES-192 - معيار التشفير المتقدم (AES) هو طريقة تشفير 192 بت تعمل على تحويل النص العادي إلى نص تشفير من خلال 12 تكرار لدورات.
AES-256 - معيار التشفير المتقدم (AES) هو طريقة تشفير 256 بت تعمل على تحويل النص العادي إلى نص تشفير من خلال 14 تكرار تكرار لدورات.

الخطوة 8. أختر أسلوب المصادقة المناسب من القائمة المنسدلة لمصادقة المرحلة 2. يحتاج نفق VPN إلى إستخدام طريقة المصادقة نفسها لكل من طرفيه.

MD5 - خوارزمية ملخص الرسالة-5 (MD5) تمثل دالة تجزئة سداسية عشرية مكونة من 32 رقما توفر الحماية للبيانات من الهجوم الضار بواسطة حساب المجموع الاختباري.
SHA1 - خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت وهي أكثر أمانا من MD5.
خال - لا يتم إستخدام أي أسلوب مصادقة.

الخطوة 9. أدخل مقدار الوقت بالثواني، في المرحلة 2، ويظل نفق VPN نشطا في حقل فترة حياة المرحلة 2 SA. الوقت الافتراضي هو 3600 ثانية.

الخطوة 10. حدد خانة الاختيار Minimum Presshared Key Complexity إذا كنت تريد تمكين مقياس قوة المفتاح المشترك مسبقا.

الخطوة 11. أدخل مفتاحا تتم مشاركته مسبقا بين نظائر IKE في حقل المفتاح المشترك مسبقا. يمكن إستخدام ما يصل إلى 30 حرفا ورقميا كمفتاح مشترك مسبقا. يحتاج نفق VPN إلى إستخدام نفس المفتاح المشترك مسبقا لكلا طرفيه.

ملاحظة: يوصى بشدة بتغيير المفتاح المشترك مسبقا بشكل متكرر بين نظائر IKE حتى تظل الشبكة الخاصة الظاهرية (VPN) آمنة.

مقياس القوة الرئيسي السابق التشكيل - يظهر هذا مدى قوة المفتاح المشترك مسبقا عبر الشرائط الملونة. يشير اللون الأحمر إلى ضعف القوة، بينما يشير اللون الأصفر إلى القوة المقبولة ويشير اللون الأخضر إلى القوة القوية. إذا قمت بتحديد خانة الاختيار Minimum Preshared Key Complexity في الخطوة 10 من قسم إعداد IPSec، فيظهر مقياس قوة المفتاح المشترك مسبقا فقط.

ملاحظة: إذا قمت باختيار IKE باستخدام المفتاح المشترك مسبقا من القائمة المنسدلة وضع KEYING في الخطوة 3 لإضافة قسم نفق جديد، حينئذ فقط يمكنك الحصول على خيار تكوين الخطوة 10، الخطوة 11 وعرض مقياس قوة المفتاح المشترك مسبقا.

الخطوة 12. إذا كنت تريد حفظ الإعدادات التي لديك حتى الآن، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

الإعداد المتقدم باستخدام IKE باستخدام المفتاح المشترك مسبقا أو IKE مع الشهادة

الإعدادات المتقدمة ممكنة فقط ل IKE مع المفتاح المشترك مسبقا و IKE مع مفتاح الاعتماد. لا يحتوي إعداد المفتاح اليدوي على أي إعدادات متقدمة.

الخطوة 1. انقر على خيارات متقدمة للحصول على الإعدادات المتقدمة ل IKE باستخدام المفتاح المشترك مسبقا.

الخطوة 2. حدد خانة الاختيار Aggressive Mode إذا كانت سرعة الشبكة منخفضة. وهو يتبادل معرفات نقاط نهاية النفق بنص واضح أثناء اتصال SA، الأمر الذي يتطلب وقتا أقل للتبادل ولكن أقل أمانا.

الخطوة 3. حدد خانة الاختيار ضغط (دعم بروتوكول ضغط حمولة IP (IPComp)) إذا كنت تريد ضغط حجم مخطط بيانات IP. IPComp هو بروتوكول ضغط IP يتم إستخدامه لضغط حجم مخطط بيانات IP، إذا كانت سرعة الشبكة منخفضة وكان المستخدم يريد نقل البيانات بسرعة دون أي خسارة من خلال الشبكة البطيئة.

الخطوة 4.حدد خانة الاختيار إستمرار الحياة إذا كنت تريد دائما أن يظل اتصال نفق VPN نشطا. وهو يساعد على إعادة إنشاء الاتصالات على الفور إذا أصبح أي اتصال غير نشط.

الخطوة 5. حدد خانة الاختيار خوارزمية تجزئة AH إذا كنت تريد مصادقة الرأس المصدق (AH). توفر المصادقة والتفويض والمحاسبة (AH) مصادقة أصل البيانات وسلامة البيانات من خلال المجموع الاختباري وتوسيعا للحماية في رأس IP. يجب أن يحتوي النفق على نفس الخوارزمية لكلا جانبيه.

MD5 - خوارزمية ملخص الرسالة-5 (MD5) تمثل وظيفة تجزئة سداسية عشرية مكونة من 128 رقما توفر الحماية للبيانات من الهجوم الضار بواسطة حساب المجموع الاختباري.
SHA1 - خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت وهي أكثر أمانا من MD5.

الخطوة 6. تحقق من بث NetBIOS إذا كنت تريد السماح بحركة المرور غير الموجهة من خلال نفق VPN. الإعداد الافتراضي غير محدد. يتم إستخدام NetBIOS لاكتشاف موارد الشبكة مثل الطابعات وأجهزة الكمبيوتر وما إلى ذلك في الشبكة من خلال بعض التطبيقات البرمجية وميزات Windows مثل Network Neighborhood.

الخطوة 7. حدد خانة الاختيار NAT Traversal إذا كنت تريد الوصول إلى الإنترنت من شبكة LAN الخاصة من خلال عنوان IP العام. يتم إستخدام إجتياز NAT لظهور عناوين IP الخاصة للأنظمة الداخلية كعناوين IP عامة لحماية عناوين IP الخاصة من أي هجوم أو اكتشاف ضار.

الخطوة 8. تحقق من الفاصل الزمني الكامن لاكتشاف النظير للتحقق من حيوية نفق VPN من خلال Hello أو ACK بشكل دوري. إذا قمت بتحديد خانة الاختيار هذه، فأدخل المدة أو الفاصل الزمني لرسائل Hello التي تريدها.

الخطوة 9. تحقق من المصادقة الموسعة لتوفير مزيد من الأمان والمصادقة لاتصال VPN. انقر على زر الخيار المناسب لتوسيع مصادقة توصيل VPN.

مضيف IPSec - مصادقة موسعة من خلال مضيف IPSec. إن يختار أنت هذا خيار، دخلت username من ال IPSec مضيف في المستعمل إسم مجال وكلمة في الكلمة مجال.
الجهاز الطرفي - مصادقة موسعة من خلال الجهاز الطرفي. إذا أخترت هذا خيار، أختر قاعدة البيانات التي تحتوي على جهاز حافة من القائمة المنسدلة. إذا كنت ترغب في إضافة قاعدة البيانات أو تحريرها، انقر فوق إضافة/تحرير.

ملاحظة: لمعرفة المزيد حول كيفية إضافة قاعدة البيانات المحلية أو تحريرها، ارجع إلى تكوين إدارة المجال والمستخدم على الموجه RV320.

الخطوة 10. تحقق من تكوين الوضع لتوفير عنوان IP لطالب النفق الوارد.

ملاحظة: تتوفر الخطوة 9 إلى الخطوة 11 لوضع واجهة سطر الأوامر (IKE) المضغوط ل VPN النفق.

الخطوة 11. انقر على حفظ لحفظ الإعدادات.