تكوين عميل المجموعة إلى شبكة ظاهرية خاصة (VPN) على سلسلة موجه VPN RV320 و RV325

الهدف

الشبكة الخاصة الظاهرية (VPN) هي شبكة خاصة يتم إستخدامها لتوصيل أجهزة المستخدم البعيد فعليا من خلال الشبكة العامة لتوفير الأمان. أحد أنواع شبكات VPN هو شبكة VPN من عميل إلى عبارة. من خلال الاتصال من عميل إلى بوابة، يمكنك توصيل فروع مختلفة لشركتك الواقعة في مناطق جغرافية مختلفة عن بعد لنقل البيانات واستقبالها بين المناطق بشكل أكثر أمانا. توفر شبكة VPN الخاصة بالمجموعة تكوين سهل للشبكات الخاصة الظاهرية (VPN) حيث تقوم بالقضاء على تكوين شبكة VPN لكل مستخدم. يمكن أن تدعم سلسلة موجه VPN RV32x حد أقصى من مجموعات VPN.

الهدف من هذا المستند هو شرح كيفية تكوين عميل مجموعة إلى بوابة VPN على موجهات VPN من السلسلة RV32x Series .

الأجهزة القابلة للتطبيق

· موجه VPN RV320 بشبكة WAN مزدوجة
· الموجه RV325 Gigabit WAN VPN Router

إصدار البرامج

· v1.1.0.09

تكوين عميل المجموعة إلى شبكة VPN للعبارة

الخطوة 1. سجل الدخول إلى الأداة المساعدة لتكوين الموجه واختر VPN > Client to Gateway. يتم فتح صفحة عميل إلى عبارة:

الخطوة 2. طقطقت المجموعة VPN لاسلكي أن يضيف مجموعة زبون إلى بوابة VPN.

إضافة نفق جديد

الخطوة 1. أدخل اسم النفق في حقل اسم النفق.

ملاحظة: رقم المجموعة - يمثل عدد المجموعة. إنه حقل تم إنشاؤه تلقائيا.

الخطوة 2. أختر الواجهة المناسبة التي تتصل من خلالها مجموعة VPN بالبوابة من القائمة المنسدلة الواجهة.

الخطوة 3. حدد خانة الاختيار enable لتمكين شبكة VPN من العبارة إلى البوابة. في الوضع الافتراضي، يتم تمكينها.

ملاحظة: وضع وضع الكي - يعرض وضع المصادقة المستخدم. IKE مع المفتاح المشفر مسبقا هو الخيار الوحيد، مما يعني إستخدام بروتوكول تبادل مفتاح الإنترنت (IKE) لإنشاء مفتاح مشترك مسبقا واستبداله تلقائيا لإنشاء اتصال مصدق عليه للنفق.

الخطوة 4. لحفظ الإعدادات التي لديك حتى الآن وترك الباقي كافتراضي، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد المجموعة المحلية

الخطوة 1. أختر مستخدم شبكة LAN المحلي المناسب أو مجموعة المستخدمين الذين يمكنهم الوصول إلى نفق VPN من القائمة المنسدلة نوع مجموعة الأمان المحلية. الإعداد الافتراضي هو الشبكة الفرعية.

يتم تحديد الخيارات المتاحة على النحو التالي: 

· IP — يمكن لجهاز LAN محدد واحد فقط الوصول إلى النفق. إن يختار أنت هذا خيار، دخلت العنوان من ال lan أداة في العنوان مجال. عنوان IP الافتراضي هو 192.168.1.0.

· الشبكة الفرعية — يمكن لجميع أجهزة LAN الموجودة على شبكة فرعية معينة الوصول إلى النفق. إذا أخترت هذا الخيار، فأدخل عنوان IP وقناع الشبكة الفرعية لأجهزة الشبكة المحلية في حقل عنوان IP وقناع الشبكة الفرعية على التوالي. القناع الافتراضي هو 255.255.255.0.

· نطاق IP — يمكن لنطاق أجهزة الشبكة المحلية (LAN) الوصول إلى النفق. إذا أخترت هذا الخيار، فأدخل عنواني IP الأول والأخير للنطاق في حقلي بدء IP ونهاية IP على التوالي. النطاق الافتراضي هو من 192.168.1.0 إلى 192.168.1.254.

الخطوة 2. لحفظ الإعدادات التي لديك حتى الآن وترك الباقي كافتراضي، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد العميل البعيد

الخطوة 1. أختر مستخدم شبكة LAN البعيدة المناسب أو مجموعة المستخدمين الذين يمكنهم الوصول إلى نفق VPN من القائمة المنسدلة نوع مجموعة الأمان عن بعد.

يتم تحديد الخيارات المتاحة على النحو التالي:

· مصادقة اسم المجال (FQDN) — يمكن الوصول إلى النفق من خلال مجال مسجل. إذا أخترت هذا الخيار، فأدخل اسم المجال المسجل في حقل اسم المجال.

· مصادقة عنوان البريد الإلكتروني (FQDN للمستخدم) — يمكن الوصول إلى النفق من خلال عنوان بريد إلكتروني. إذا أخترت هذا الخيار، أدخل عنوان البريد الإلكتروني في حقل عنوان البريد الإلكتروني.

· عميل Microsoft XP/2000 VPN — يمكن الوصول إلى النفق من خلال برنامج العميل الذي يعد أحد برامج عميل Microsoft XP أو 2000 VPN المضمنة.

الخطوة 2. لحفظ الإعدادات التي لديك حتى الآن وترك الباقي كافتراضي، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد IPSec

الخطوة 1. أختر مجموعة Diffie-Hellman (DH) المناسبة من القائمة المنسدلة المرحلة 1 لمجموعة DH. يتم إستخدام المرحلة 1 لإنشاء إرتباط الأمان المنطقي البسيط (SA) بين طرفي النفق لدعم الاتصال الآمن المصدق. Diffie-Hellman هو بروتوكول تبادل مفاتيح مشفر يتم إستخدامه في اتصال المرحلة الأولى لمشاركة مفتاح سري لمصادقة الاتصال. 

 

يتم تحديد الخيارات المتاحة على النحو التالي: 

· المجموعة 1 (768 بت) — تحسب المفتاح أسرع، لكنها الأقل أمانا.

· المجموعة 2 (1024-بت) — تحسب المفتاح أبطأ، لكنه أكثر أمانا من المجموعة 1.

· المجموعة 5 (1536 بت) — تحسب المفتاح بطئ، لكنها الأكثر أمانا.

الخطوة 2. أختر طريقة التشفير المناسبة لتشفير المفتاح من القائمة المنسدلة تشفير المرحلة 1. يوصى باستخدام الطراز AES-128 لتحقيق الأمان الفائق والأداء السريع. يحتاج نفق VPN إلى إستخدام نفس طريقة التشفير لكل من طرفيه.

يتم تحديد الخيارات المتاحة على النحو التالي: 

· DES — معيار تشفير البيانات (DES) هو طريقة تشفير قديمة من فئة 56 بت ليست طريقة تشفير آمنة للغاية، ولكنها قد تكون مطلوبة للتوافق مع الإصدارات السابقة.

· 3DES — معيار تشفير البيانات الثلاثي (3DES) هو طريقة تشفير بسيطة 168 بت تستخدم لزيادة حجم المفتاح لأنه يقوم بتشفير البيانات ثلاث مرات. يوفر ذلك أمانا أكثر من DES ولكن أمان أقل من AES.

· AES-128 — يستخدم معيار التشفير المتقدم مع مفتاح 128-بت (AES-128) مفتاح 128-بت لتشفير AES. يتميز نظام التشفير المتطور (AES) بأنه أكثر سرعة وأمنا من نظام اكتشاف التشفير المتطور (DES). وبشكل عام، يعتبر معيار التشفير المتطور أكثر سرعة وأمنا من معيار تشفير البيانات الثلاثي (3DES). الطراز AES-128 أكثر سرعة ولكنه أقل أمانا من الطرازين AES-192 و AES-256.

· AES-192 — يستخدم AES-192 مفتاح 192-بت لتشفير AES. يتميز الطراز AES-192 بأنه أكثر بطئا وأمنا مقارنة بالطراز AES-128، كما أنه أسرع ولكن أقل أمانا من الطراز AES-256.

· AES-256 — يستخدم AES-256 مفتاح 256-بت لتشفير AES. يتميز الطراز AES-256 بأنه أكثر بطئا ولكنه أكثر أمانا من الطرازين AES-128 و AES-192.

الخطوة 3. أختر أسلوب المصادقة المناسب من القائمة المنسدلة لمصادقة المرحلة الأولى. يحتاج نفق VPN إلى إستخدام طريقة المصادقة نفسها لكل من طرفيه.

يتم تحديد الخيارات المتاحة على النحو التالي: 

· MD5 — خوارزمية ملخص الرسالة-5 (MD5) تمثل وظيفة تجزئة 128 بت توفر الحماية للبيانات من الهجمات الضارة بواسطة حساب المجموع الاختباري.

· SHA1 — خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت، والتي تكون أكثر أمانا من MD5.

الخطوة 4. دخلت في المرحلة 1 SA Life Time مجال، المقدار من الوقت بالثواني أن يبقى نفق VPN نشط في المرحلة 1. الوقت الافتراضي هو 28،800 ثانية.

الخطوة 5. (إختياري) لتوفير المزيد من الحماية للمفاتيح، حدد خانة الاختيار Perfect Forward Secret. يتيح لك هذا الخيار إنشاء مفتاح جديد في حالة أختراق أي مفتاح. هذا إجراء موصى به لأنه يوفر المزيد من الأمان.

ملاحظة: إذا قمت بإلغاء تحديد سرية إعادة التوجيه المثالية في الخطوة 5، فلن تكون بحاجة إلى تكوين مجموعة DH للمرحلة 2.

الخطوة 6. أختر مجموعة DH المناسبة من القائمة المنسدلة المرحلة 2 لمجموعة DH. 

يتم تحديد الخيارات المتاحة على النحو التالي: 

· المجموعة 1 (768 بت) — تحسب المفتاح أسرع، لكنها الأقل أمانا.

· المجموعة 2 (1024-بت) — تحسب المفتاح أبطأ، لكنه أكثر أمانا من المجموعة 1.

· المجموعة 5 (1536 بت) — تحسب المفتاح بطئ، لكنها الأكثر أمانا.

الخطوة 2. أختر طريقة التشفير المناسبة لتشفير المفتاح من القائمة المنسدلة تشفير المرحلة 1. يوصى باستخدام الطراز AES-128 لتحقيق الأمان الفائق والأداء السريع. يحتاج نفق VPN إلى إستخدام نفس طريقة التشفير لكل من طرفيه.

يتم تحديد الخيارات المتاحة على النحو التالي: 

· DES — معيار تشفير البيانات (DES) هو طريقة تشفير قديمة من فئة 56 بت ليست طريقة تشفير آمنة للغاية، ولكنها قد تكون مطلوبة للتوافق مع الإصدارات السابقة.

· 3DES — معيار تشفير البيانات الثلاثي (3DES) هو طريقة تشفير بسيطة 168 بت تستخدم لزيادة حجم المفتاح لأنه يقوم بتشفير البيانات ثلاث مرات. يوفر ذلك أمانا أكثر من DES ولكن أمان أقل من AES.

· AES-128 — يستخدم معيار التشفير المتقدم مع مفتاح 128-بت (AES-128) مفتاح 128-بت لتشفير AES. يتميز نظام التشفير المتطور (AES) بأنه أكثر سرعة وأمنا من نظام اكتشاف التشفير المتطور (DES). وبشكل عام، يعتبر معيار التشفير المتطور أكثر سرعة وأمنا من معيار تشفير البيانات الثلاثي (3DES). الطراز AES-128 أكثر سرعة ولكنه أقل أمانا من الطرازين AES-192 و AES-256.

· AES-192 — يستخدم AES-192 مفتاح 192-بت لتشفير AES. يتميز الطراز AES-192 بأنه أكثر بطئا وأمنا مقارنة بالطراز AES-128، كما أنه أسرع ولكن أقل أمانا من الطراز AES-256.

· AES-256 — يستخدم AES-256 مفتاح 256-بت لتشفير AES. يتميز الطراز AES-256 بأنه أكثر بطئا ولكنه أكثر أمانا من الطرازين AES-128 و AES-192.

الخطوة 8. أختر أسلوب المصادقة المناسب من القائمة المنسدلة لمصادقة المرحلة 2. يحتاج نفق VPN إلى إستخدام طريقة المصادقة نفسها لكل من طرفيه.

يتم تحديد الخيارات المتاحة على النحو التالي: 

· MD5 — خوارزمية ملخص الرسالة-5 (MD5) تمثل وظيفة تجزئة 128 بت التي توفر الحماية للبيانات من الهجوم الضار بواسطة حساب المجموع الاختباري.

· SHA1 — خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت أكثر أمانا من MD5.

الخطوة 9. دخلت في المرحلة 2 sa مجال مدى الحياة، المقدار من الوقت بالثواني أن ال VPN نفق يبقى نشط في المرحلة 2. الوقت الافتراضي هو 3600 ثانية.

الخطوة 10. (إختياري) إذا كنت تريد تمكين مقياس شدة المفتاح المشترك مسبقا، حدد خانة الاختيار الحد الأدنى لتعقيد المفتاح المشترك مسبقا.

ملاحظة: إذا قمت بتحديد خانة الاختيار الحد الأدنى لتعقيد المفتاح المشترك مسبقا، فإن مقياس شدة المفتاح المشترك مسبقا يظهر قوة المفتاح المشترك مسبقا من خلال الشرائط الملونة. يشير اللون الأحمر إلى ضعف القوة، بينما يشير اللون الأصفر إلى القوة المقبولة، ويشير اللون الأخضر إلى القوة القوية. 

الخطوة 11. أدخل المفتاح المرغوب في حقل المفتاح المشترك مسبقا. يمكن إستخدام ما يصل إلى 30 من المواد السداسية العشرية كالمفتاح المشترك مسبقا. يحتاج نفق VPN إلى إستخدام نفس المفتاح المشترك مسبقا لكلا طرفيه.

ملاحظة: يوصى بشدة بتغيير المفتاح المشترك مسبقا بشكل متكرر بين نظائر IKE حتى تظل الشبكة الخاصة الظاهرية (VPN) مؤمنة.

الخطوة 12. لحفظ الإعدادات التي لديك حتى الآن وترك الباقي كافتراضي، قم بالتمرير لأسفل وانقر حفظ لحفظ الإعدادات.

إعداد متقدم

الخطوة 1. طقطقت متقدم أن يشكل العملية إعداد متقدم.

تظهر منطقة متقدم مع الحقول الجديدة المتاحة.  

الخطوة 2. (إختياري) حدد خانة الاختيار Aggressive Mode إذا كانت سرعة الشبكة منخفضة. يقوم الوضع النشط بتبادل معرفات نقاط نهاية النفق في نص واضح أثناء اتصال SA، والذي يتطلب وقتا أقل للتبادل لكنه أقل أمانا.

الخطوة 3. (إختياري) حدد خانة الاختيار ضغط (دعم بروتوكول ضغط حمولة IP (IPComp) إذا كنت تريد ضغط حجم مخططات بيانات IP. IPComp هو بروتوكول ضغط IP يتم إستخدامه لضغط حجم مخططات بيانات IP إذا كانت سرعة الشبكة منخفضة، وإذا كان المستخدم يريد إرسال البيانات بسرعة دون أي خسارة.

الخطوة 4. (إختياري) حدد خانة الاختيار إستمرار الحياة إذا كنت تريد دائما أن يبقى اتصال نفق VPN نشطا. تساعد ميزة "البقاء على قيد الحياة" على إعادة إنشاء الاتصالات على الفور في حال أصبح أي اتصال غير نشط.

الخطوة 5. (إختياري) حدد خانة الاختيار خوارزمية تجزئة AH إذا كنت تريد المصادقة على أصل البيانات، سلامة البيانات من خلال المجموع الاختباري، والحماية الموسعة في رأس IP. ثم أختر أسلوب المصادقة المناسب من القائمة المنسدلة. يجب أن يحتوي النفق على نفس الخوارزمية لكلا جانبيه.

يتم تحديد الخيارات المتاحة على النحو التالي: 

· MD5 — خوارزمية ملخص الرسالة-5 (MD5) تمثل وظيفة تجزئة 128 بت التي توفر الحماية للبيانات من الهجوم الضار بواسطة حساب المجموع الاختباري.

· SHA1 — خوارزمية التجزئة الآمنة الإصدار 1 (SHA1) هي وظيفة تجزئة 160 بت أكثر أمانا من MD5.

الخطوة 6. حدد خانة الاختيار NetBIOS Broadcast إذا كنت تريد السماح بحركة المرور غير الموجهة عبر نفق VPN. الإعداد الافتراضي غير محدد. يتم إستخدام NetBIOS لاكتشاف موارد الشبكة مثل الطابعات وأجهزة الكمبيوتر وما إلى ذلك في الشبكة من خلال تطبيقات البرامج وميزات Windows مثل Network Neighborhood.

الخطوة 7. (إختياري) حدد خانة الاختيار NAT Traversal إذا كنت تريد الوصول إلى الإنترنت من شبكة LAN الخاصة عبر عنوان IP العام. يتم إستخدام إجتياز NAT لجعل عناوين IP الخاصة للأنظمة الداخلية تظهر كعناوين IP عامة لحماية عناوين IP الخاصة من أي هجوم أو اكتشاف ضار.

الخطوة 8. انقر على حفظ لحفظ الإعدادات.