CVR100W VPN路由器上的高级VPN设置

目标

虚拟专用网络(VPN)用于通过公共网络（如Internet）将不同网络上的终端连接到一起。此功能允许远离本地网络的远程用户通过Internet安全地连接到网络。 

本文说明如何在CVR100W VPN路由器上配置高级VPN。有关基本VPN设置，请参阅在CVR100W VPN路由器上配置基本VPN。

适用设备

· CVR100W VPN路由器

软件版本

•1.0.1.19

高级VPN设置

初始设置

此过程说明如何配置高级VPN设置的初始设置。

步骤1.登录到Web配置实用程序，然后选择VPN > Advanced VPN Setup。“高级VPN设置”页打开：

第2步。（可选）要启用VPN连接的网络地址转换(NAT)遍历，请选中“NAT遍历”字段中的启用复选框。NAT遍历允许在使用NAT的网关之间建立VPN连接。如果VPN连接通过启用NAT的网关，请选择此选项。

步骤3.（可选）要启用通过VPN连接发送网络基本输入/输出系统(NetBIOS)广播，请选中NETBIOS字段中的启用复选框。NetBIOS使主机能够在LAN内相互通信。

IKE策略设置

互联网密钥交换(IKE)是用于在VPN中建立通信安全连接的协议。此建立的安全连接称为安全关联(SA)。 此过程说明如何为VPN连接配置IKE策略以用于安全。要使VPN正常运行，两个端点的IKE策略应相同。

步骤1.在IKE策略表中，单击添加行以创建新的IKE策略。“高级VPN设置”页将更改：

步骤2.在Policy Name字段中，输入IKE策略的名称。

步骤3.从Exchange Mode下拉列表中，选择一个选项以标识IKE策略的运行方式。

· Main — 此选项允许IKE策略更安全地运行。它比主动模式慢。如果需要更安全的VPN连接，请选择此选项。

·主动 — 此选项允许IKE策略运行更快，但它比主模式不安全。如果需要更快的VPN连接，请选择此选项。

步骤4.（可选）要启用应答模式，请选中应答复选框。如果已启用应答模式，CVR100W VPN路由器只能从远程VPN终端接收VPN请求。

步骤5.在Local ID字段中，点击所需的单选按钮以确定如何指定Local ID。

·自动 — 此选项自动分配本地ID。

·手动 — 此选项用于手动分配本地ID。

步骤6.（可选）从Local ID下拉列表中，为本地网络选择所需的标识方法。

· IP地址 — 此选项通过公有IP地址标识本地网络。

· FQDN — 此选项使用完全限定域名(FQDN)标识本地网络。

第7步。（可选）在Local ID字段中，输入IP Address或域名。条目取决于步骤6中选择的选项。

步骤8.在Remote ID字段中，点击所需的单选按钮以确定如何指定Remote ID。

·自动 — 此选项自动分配远程ID。

·手动 — 此选项用于手动分配远程ID

步骤9.（可选）从Remote ID下拉列表中，为远程网络选择所需的标识方法。

· IP Address — 此选项通过公有IP地址标识远程网络。

· FQDN — 此选项使用完全限定域名(FQDN)来标识远程网络。

第10步。（可选）在Remote ID字段中，输入IP地址或域名。条目取决于步骤9中选择的选项。

步骤11.在冗余远程ID字段中，点击所需的单选按钮以确定如何指定冗余远程ID。冗余远程ID是用于在远程网关设置VPN隧道的备用远程ID。

·自动 — 此选项自动分配冗余远程ID。

·手动 — 此选项用于手动分配冗余远程ID。

步骤12.（可选）从冗余远程ID下拉列表中，选择冗余网络所需的标识方法。

· IP Address — 此选项通过公有IP地址标识冗余远程网络。

· FQDN — 此选项使用完全限定域名(FQDN)来标识冗余远程网络。

步骤13.（可选）在冗余远程ID字段中，输入IP地址或域名。条目取决于步骤12中选择的选项。

步骤14.从Encryption Algorithm下拉列表中，选择一个选项以协商安全关联(SA)。

· DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES已过时，如果一个终端仅支持DES，则应使用它。

· 3DES — 三重数据加密标准(3DES)执行DES三次，但根据执行的DES轮次，密钥大小从168位变为112位，从112位变为56位。3DES比DES和AES更安全。

· AES-128 — 高级加密标准，带128位密钥(AES-128)，使用128位密钥进行AES加密。AES比DES更快、更安全。某些类型的硬件使3DES更快。AES-128比AES-192和AES-256更快，但安全性较低。

· AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全，而AES-192比AES-256快但不安全。

· AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢，但更安全。

步骤15.从Authentication Algorithm下拉列表中，选择一个选项对VPN报头进行身份验证。

· MD5 — 消息摘要算法5(MD5)使用128位哈希值进行身份验证。MD5安全性较低，但比SHA-1和SHA2-256快。

· SHA-1 — 安全散列算法1(SHA-1)使用160位散列值进行身份验证。SHA-1比MD5慢但更安全，而SHA-1比SHA2-256快但不安全。

· SHA2-256 — 安全散列算法2(SHA2-256)使用256位散列值进行身份验证。SHA2-256比MD5和SHA-1慢但安全。

步骤16.在Pre-Shared Key字段中，输入IKE策略使用的预共享密钥。

步骤17.从Diffie-Hellman(DH)组下拉列表中，选择IKE使用的DH组。DH组中的主机可以在彼此不知情的情况下交换密钥。组位数越高，组就越安全。

步骤18.在SA生命期字段中，输入VPN的安全关联(SA)在SA续约之前的持续时间（秒）。

第19步。（可选）要启用失效对等体检测(DPD)，请选中“失效对等体检测”字段中的启用复选框。DPD用于监控IKE对等体，以检查对等体是否已停止工作。DPD可防止在非活动对等体上浪费网络资源。

第20步。（可选）要指示对等体检查活动的频率，请在“DPD延迟”字段中输入时间间隔（以秒为单位）。如果在第19步中启用了DPD，则此选项可用。

第21步。（可选）要指示在丢弃非活动对等体之前等待的时间，请在DPD Timeout字段中输入等待时间（以秒为单位）。如果在步骤19中启用了DPD，则此选项可用。

步骤22.单击Save。系统将重新显示原始的“高级VPN设置”页。

第23步。（可选）要在IKE策略表中编辑IKE策略，请选中该策略的复选框。然后单击编辑，编辑必填字段，然后单击保存。

第24步。（可选）要删除IKE策略表中的IKE策略，请选中该策略的复选框，然后单击删除。然后单击保存。

VPN策略设置

此过程说明如何配置VPN连接的VPN策略。要使VPN正常运行，两个终端的VPN策略应相同。

步骤1.在“VPN策略表”中，单击“添加行”以创建新的VPN策略。“高级VPN设置”页将更改为：

步骤2.在Policy Name字段中，输入VPN策略的名称。

步骤3.从Policy Type下拉列表中，选择一个选项以标识如何生成VPN隧道的设置。

·手动策略 — 此选项允许您配置密钥以进行数据加密和完整性。

·自动策略(Auto Policy) — 此选项使用IKE策略进行数据完整性和加密密钥交换。

步骤4.从Remote Endpoint下拉列表中，选择一个选项以指定如何手动分配远程ID。

· IP Address — 此选项通过公有IP地址标识远程网络。

· FQDN — 此选项使用完全限定域名(FQDN)来标识远程网络。

步骤5.在Remote Endpoint下拉列表下的文本输入字段中，输入远程地址的公有IP地址或域名。

步骤6.（可选）要启用冗余，请选中“冗余终结点”字段中的启用复选框。冗余终结点选项使CVR100W VPN路由器能够在主VPN连接失败时连接到备份VPN终结点。

步骤7.（可选）要手动分配冗余ID，请从冗余终端下拉列表中选择一个选项。

· IP Address — 此选项通过公有IP地址标识冗余远程网络。

· FQDN — 此选项使用完全限定域名(FQDN)来标识冗余远程网络。

第8步。（可选）要输入冗余地址，请在冗余终端下拉列表下方的文本输入字段中输入公有IP地址或域名。

第9步。（可选）要启用回滚，请选中回滚启用复选框。当主VPN连接从故障恢复时，此选项将启用从备份VPN连接到主VPN连接的自动切换。

步骤10.从Local IP下拉列表中，选择一个选项以确定哪些主机受策略影响。

·单个 — 此选项使用单台主机作为本地VPN连接点。

·子网 — 此选项使用本地网络的子网作为本地VPN连接点。

步骤11.在IP Address字段中，输入本地子网或主机的主机或子网IP地址。

步骤12.（可选）如果在步骤10中选择了Subnet选项，请在Subnet Mask字段中输入本地子网的子网掩码。

步骤13.从Remote IP下拉列表中，选择一个选项以确定哪些主机受策略影响。

·单个 — 此选项使用单台主机作为远程VPN连接点。

·子网 — 此选项使用远程网络的子网作为远程VPN连接点。

步骤14.在IP Address字段中，输入远程子网或主机的主机或子网IP地址。

步骤15.（可选）如果在步骤13中选择了Subnet选项，请在Subnet Mask字段中输入远程子网的子网掩码。

注意：如果在步骤3中选择了Manual Policy选项，请执行步骤16至步骤23;否则，请跳至步骤24。

步骤16.在SPI-Incoming字段中，为VPN连接上的传入流量输入安全参数索引(SPI)标记的三到八个十六进制字符。SPI标记用于区分一个会话的流量与其他会话的流量。隧道一端的传入SPI应是隧道另一端的传出SPI。

步骤17.在SPI-Outgoing字段中，为VPN连接上的传出流量输入三到八个十六进制字符的SPI标记。SPI标记用于区分一个会话的流量与其他会话的流量。隧道一端的传出SPI应是隧道另一端的传入SPI。

步骤18.从Encryption Algorithm下拉列表中，选择一个选项以协商安全关联(SA)。

· DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES已过时，如果一个终端仅支持DES，则应使用它。

· 3DES — 三重数据加密标准(3DES)执行DES三次，但根据执行的DES轮次，密钥大小从168位变为112位，从112位变为56位。3DES比DES和AES更安全。

· AES-128 — 高级加密标准，带128位密钥(AES-128)，使用128位密钥进行AES加密。AES比DES更快、更安全。某些类型的硬件使3DES更快。AES-128比AES-192和AES-256更快，但安全性较低。

· AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全，而AES-192比AES-256快但不安全。

· AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢，但更安全。

步骤19.在Key-In字段中，输入入站策略的密钥。密钥长度取决于步骤18中选择的算法。

· DES使用8个字符的密钥。

· 3DES使用24个字符的键。

· AES-128使用12个字符的密钥。

· AES-192使用24个字符的密钥。

· AES-256使用32个字符的密钥。

步骤20.在Key-Out字段中，输入传出策略的密钥。密钥长度取决于步骤18中选择的算法。密钥长度取决于步骤18中选择的算法。

· DES使用8个字符的密钥。

· 3DES使用24个字符的键。

· AES-128使用12个字符的密钥。

· AES-192使用24个字符的密钥。

· AES-256使用32个字符的密钥。

步骤21.从Integrity Algorithm下拉列表中，选择一个选项以验证VPN报头。

· MD5 — 消息摘要算法5(MD5)使用128位哈希值进行身份验证。MD5的安全性较低，但比SHA-1和SHA2-256快。

· SHA-1 — 安全散列算法1(SHA-1)使用160位散列值进行身份验证。SHA-1比MD5慢但更安全，而SHA-1比SHA2-256快但不安全。

· SHA2-256 — 安全散列算法2(SHA2-256)使用256位散列值进行身份验证。SHA2-256比MD5和SHA-1慢，但更安全。

步骤22.在Key-In字段中，输入入站策略的密钥。密钥长度取决于步骤21中选择的算法。

· MD5使用16个字符的键。

· SHA-1使用20个字符的密钥。

· SHA2-256使用32个字符的密钥。

步骤23.在Key-Out字段中，输入传出策略的密钥。密钥长度取决于步骤21中选择的算法。密钥长度取决于步骤21中选择的算法。

· MD5使用16个字符的键。

· SHA-1使用20个字符的密钥。

· SHA2-256使用32个字符的密钥。

注意：如果在步骤3中选择Auto Policy，请执行步骤24至步骤29;否则，请跳至步骤31。

步骤24.在SA-Lifetime字段中，输入SA在续约前持续的时间（以秒为单位）。

步骤25.从Encryption Algorithm下拉列表中，选择一个选项以协商安全关联(SA)。

· DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES已过时，如果一个终端仅支持DES，则应使用它。

· 3DES — 三重数据加密标准(3DES)执行DES三次，但根据执行的DES轮次，密钥大小从168位变为112位，从112位变为56位。3DES比DES和AES更安全。

· AES-128 — 高级加密标准，带128位密钥(AES-128)，使用128位密钥进行AES加密。AES比DES更快、更安全。某些类型的硬件使3DES更快。AES-128比AES-192和AES-256更快，但安全性较低。

· AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全，而AES-192比AES-256快但不安全。

· AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢，但更安全。

步骤26.从Integrity Algorithm下拉列表中，选择一个选项以验证VPN报头。

· MD5 — 消息摘要算法5(MD5)使用128位哈希值进行身份验证。MD5的安全性较低，但比SHA-1和SHA2-256快。

· SHA-1 — 安全散列算法1(SHA-1)使用160位散列值进行身份验证。SHA-1比MD5慢但更安全，而SHA-1比SHA2-256快但不安全。

· SHA2-256 — 安全散列算法2(SHA2-256)使用256位散列值进行身份验证。SHA2-256比MD5和SHA-1慢但安全。

步骤27.选中PFS Key Group字段中的Enable复选框以启用完全向前保密(PFS)。PFS提高了VPN安全性，但降低了连接速度。

第28步。（可选）如果您选择在第27步中启用PFS，请从下拉列表的PFS Key Group字段下选择要加入的Diffie-Hellman(DH)组。组编号越高，组就越安全。

步骤29.从Select IKE Policy下拉列表中，选择要用于VPN策略的IKE策略。

步骤30.（可选）如果单击“查看”，则会指向“高级VPN设置”页面的IKE配置部分。

步骤31.单击“保存”。系统将重新显示原始的“高级VPN设置”页。

步骤32.单击“保存”。

第33步。（可选）要在VPN策略表中编辑VPN策略，请选中该策略的复选框。然后单击编辑，编辑必填字段，然后单击保存。

第34步。（可选）要删除VPN策略表中的VPN策略，请选中该策略的复选框，单击删除，然后单击保存。