Internet密钥交换(IKE)是在两个网络之间建立安全通信的协议。使用IKE时,数据包使用双方使用的密钥进行加密和锁定以及解锁。
在配置VPN策略之前,需要创建Internet密钥交换策略。有关详细信息,请参阅RV130和RV130W上的VPN策略配置。
本文档的目的是向您展示如何向RV130和RV130W VPN路由器添加IKE配置文件。
· RV130
· RV130W
步骤1:使用Router Configuration Utility从左侧菜单中选择VPN > Site-to-Site IPSec VPN > Advanced VPN Setup。系统将显示Advanced VPN Setup页面:
第二步:在IKE Policy Table下,单击Add Row。系统将显示一个新窗口:
第三步:在IKE Name(IKE名称)字段中输入IKE策略的名称。
第四步:从Exchange Mode下拉菜单中,选择使用密钥交换建立安全通信的模式。
可用选项定义如下:
· Main — 保护对等体的身份以提高安全性。
·主动 — 不保护对等体身份,但提供更快的连接。
第五步:从Local Identifier Type下拉菜单中,选择配置文件具有的身份类型。
可用选项定义如下:
·本地WAN(Internet)IP — 通过Internet连接。
· IP地址 — 由句点分隔的唯一数字字符串,用于标识使用Internet协议的每台计算机,以便通过网络通信。
第6步。(可选)如果在第5步中的下拉列表中选择IP Address,请在Local Identifier字段中输入本地IP地址。
步骤 7.从Remote Identifier Type下拉菜单中,选择配置文件具有的身份类型。
可用选项定义如下:
·本地WAN(Internet)IP — 通过Internet连接。
· IP地址 — 由句点分隔的唯一数字字符串,用于标识使用Internet协议的每台计算机,以便通过网络通信。
第8步。(可选)如果在第7步中的下拉列表中选择IP Address,请在Remote Identifier字段中输入远程IP地址。
步骤 9从Encryption Algorithm下拉菜单中选择一种算法来加密您的通信。默认选择AES-128。
可用选项按从低到高的安全性列出:
•DES – 数据加密标准。
· 3DES — 三重数据加密标准。
· AES-128 — 高级加密标准使用128位密钥。
· AES-192 — 高级加密标准使用192位密钥。
· AES-256 — 高级加密标准使用256位密钥。
注意:AES是DES和3DES加密的标准方法,因为它具有更高的性能和安全性。延长AES密钥将提高安全性,但性能会下降。建议使用AES-128,因为它在速度和安全性之间提供了最佳折衷。
步骤 10从Authentication Algorithm下拉菜单中,选择一个算法以对您的通信进行身份验证。默认选择SHA-1。
可用选项定义如下:
· MD5 — 消息摘要算法具有128位散列值。
· SHA-1 — 安全哈希算法具有160位哈希值。
· SHA2-256 — 具有256位哈希值的安全哈希算法。
注意:MD5和SHA都是加密散列函数。他们获取一段数据,将其压缩,然后创建通常不可重复的唯一十六进制输出。MD5基本上不提供散列冲突的安全保护,应仅用于不需要防冲突的小型企业环境。与MD5相比,SHA1是更好的选择,因为它能够以极低的速度提供更好的安全性。为了获得最佳效果,SHA2-256没有实际相关的已知攻击,并将提供最佳安全性。如前所述,安全性越高,速度越慢。
步骤 11在Pre-Shared Key字段中,输入长度介于8到49个字符之间的密码。
步骤 12从DH Group下拉菜单中,选择DH组。位数表示安全级别。连接的两端必须位于同一个组中。
步骤 13在SA-Lifetime字段中,输入安全关联的有效时间(以秒为单位)。默认时间为 28800 秒钟。
步骤14.(可选)如果要禁用与非活动对等体的连接,请选中失效对等体检测字段中的启用复选框。如果未启用Dead peer Detection,请跳到步骤17。
步骤15.(可选)如果启用了失效对等体检测,请在DPD延迟字段中输入值。此值将指定路由器在检查客户端连接时等待的时间。
步骤16.(可选)如果启用了失效对等体检测,请在DPD超时字段中输入值。此值将指定客户端在超时之前保持连接的时间。
步骤 17单击Save以保存更改。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
12-Dec-2018 |
初始版本 |