为 RV016、RV042、RV042G 和 RV082 VPN 路由器上的 VPN 客户端设置远程访问隧道(客户端到网关)

下载选项

  • PDF     (3.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (3.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 10 日
文档 ID:SMB624

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

本文介绍如何借助第三方 VPN 客户端软件(如 Green Bow 或 VPN Tracker)配置从客户端到 RV016、RV042、RV042G 和 RV082 VPN 路由器网关的远程访问虚拟专用网 (VPN) 隧道。

简介

VPN 是一种专用网络,用于通过公共网络虚拟连接远程用户的设备,以提供安全性。远程访问隧道 VPN 是用于配置客户端计算机和网络之间 VPN 的过程。通过 VPN 客户端软件在用户的台式机或笔记本电脑中配置客户端。它为用户提供与网络的远程安全连接。客户端到网关 VPN 连接有助于远程员工通过远程、安全的方式连接到办公室网络。

适用设备

  • RV016
  • RV042
  • RV042G
  • RV082

软件版本

  • v4.2.2.08

配置 VPN 隧道

步骤1:登录到Web配置实用程序并选择VPN > Client to Gateway。系统将打开 Client to Gateway(客户端到网关)页面:

添加新隧道

步骤1:根据要添加的隧道类型,点击适当的单选按钮。

  • 隧道 - 表示单个远程用户的隧道。
  • 组 VPN - 表示远程用户组的隧道。

隧道编号是自动生成的字段,显示隧道的编号。

 

第二步:在Tunnel Name字段中输入隧道的名称。

第三步:从Interface下拉列表中选择用于VPN隧道的相应WAN接口。

第 4 步: (可选)要启用 VPN,请选中“Enable”(启用)字段中的复选框。默认情况下,始终选中该复选框。

本地组设置

步骤1:从Local Security Gateway下拉列表中选择适当的路由器标识方法以建立VPN隧道。 如果在 Add A New Tunnel(添加新隧道)部分的第 1 步中选择了“Group VPN”(组 VPN),请跳过此步骤。

  • 仅 IP - 可以通过静态 WAN IP 地址访问隧道。仅当路由器具有静态 WAN IP 时,才可选择此选项。静态 WAN IP 地址会自动显示。
  • IP + 域名 (FQDN) 身份验证 - 可以通过静态 IP 地址和所注册的完全限定域名 (FQDN) 域可以隧道。静态 WAN IP 地址是自动生成的字段。
  • IP + 邮件地址(用户 FQDN)身份验证 - 可以通过静态 IP 地址和邮件地址访问隧道。静态 WAN IP 地址是自动生成的字段。
  • 动态 IP + 域名 (FQDN) 身份验证 - 可以通过动态 IP 地址和注册域访问隧道。 
  • 动态 IP + 邮件地址(用户 FQDN)身份验证 - 可以通过动态 IP 地址和邮件地址访问隧道。 

第二步:如果在第1步中选择IP +域名(FQDN)身份验证动态IP +域名(FQDN)身份验证,请在“域名”(Domain Name)字段中输入已注册完全限定域的名称。

第三步:如果在第1步中选择IP +邮件地址(用户FQDN)身份验证动态IP +邮件地址(用户FQDN)身份验证,请在“邮件地址”(Email Address)字段中输入邮件地址。

第四步:从Local Security Group下拉列表中选择可访问VPN隧道的相应本地LAN用户或用户组。默认为子网。

  • IP — 只有一台特定的LAN设备可以访问隧道。如果选择此选项,请在“IP Address”(IP 地址)字段中输入 LAN 设备的 IP 地址。默认 IP 地址为 192.168.1.0。
  • 子网 - 特定子网上的所有 LAN 设备都可以访问隧道。如果选择此选项,请分别在“IP Address”(IP 地址)和“Subnet Mask”(子网掩码)字段中输入 LAN 设备的 IP 地址和子网掩码。默认掩码为 255.255.255.0。
  • IP 范围 - 一些 LAN 设备可以访问隧道。如果选择此选项,请分别在“Begin IP”(起始 IP)和“End IP”(结束 IP)字段中输入起始和结束 IP 地址。默认范围为 192.168.1.0 到 192.168.1.254。

第五步:点击 Save(保存),以保存设置。

远程客户端设置

步骤1:如果选择“Tunnel”(隧道),则从 Remote Security Gateway Type(远程安全网关类型)下拉列表中选择适当的客户端识别方法,以建立 VPN 隧道。默认设置为“IP Only”(仅 IP)。 如果在 Add A New Tunnel(添加新隧道)部分的第 1 步中选择了“Group VPN”(组 VPN),请跳过此步骤。

  • 仅 IP - 仅通过客户端的静态 WAN IP 即可访问隧道。您必须知道客户端的静态 WAN IP 才能使用此选项。 
  • IP + 域名 (FQDN) 身份验证 - 可以通过客户端的静态 IP 地址和注册域访问隧道。 
  • IP + 邮件地址(用户 FQDN)身份验证 - 可以通过客户端的静态 IP 地址和邮件地址访问隧道。 
  • 动态 IP + 域名 (FQDN) 身份验证 - 可以通过客户端的动态 IP 地址和注册域访问隧道。 
  • 动态 IP + 邮件地址(用户 FQDN)身份验证 - 可以通过客户端的动态 IP 地址和邮件地址访问隧道。 

第二步:如果在第1步中选择IP Only、IP + Domain Name(FQDN)或IP + E-mail Address(User FQDN)Authentication,请在IP Address字段中输入远程客户端的IP地址。

第三步:如果知道IP地址,请从下拉列表中选择相应的选项以输入IP地址;如果在第1步中选择IP OnlyIP +域名(FQDN)身份验证IP +邮件地址(用户FQDN)身份验证,则从DNS服务器解析IP地址。

  • IP 地址 - 表示远程客户端的静态 IP 地址。在该字段中输入静态 IP 地址。
  • 通过 DNS 解析的 IP - 表示 IP 地址的域名,如果您不知道远程客户端的静态 IP 地址,则该域名将通过本地 DNS 服务器自动检索 IP 地址。在该字段中输入 IP 地址的域名。

第四步:如果在第1步中选择IP +域名(FQDN)身份验证动态IP +域名(FQDN)身份验证,请在Domain name字段中输入IP地址的域名。

第五步:如果在第1步中选择IP +邮件地址(用户FQDN)身份验证(IP + E-mail Address(USER FQDN)Authentication)动态IP +邮件地址(用户FQDN)身份验证(Dynamic IP + E-mail Address(USER FQDN))),请在“邮件地址”(Email Address)字段中输入邮件地址。

第六步:如果选择“Group”(组),请从 Remote Client(远程客户端)下拉列表中选择适当的远程客户端类型。 如果在 Add A New Tunnel(添加新隧道)部分的第 1 步中选择了“Tunnel VPN”(隧道 VPN),请跳过此步骤。

  • 域名 (FQDN) - 可以通过注册域访问隧道。如果选择此选项,请在“Domain Name”(域名)字段中输入注册域的名称。
  • E-mail Addr(USER FQDN) — 可通过客户端的电子邮件地址访问隧道。如果选择此选项,请在“Email Address”(邮件地址)字段中输入邮件地址。
  • Microsoft XP/2000 VPN 客户端 - 可以通过 Microsoft XP 或 Microsoft 2000 windows 软件访问隧道。使用 Microsoft VPN 客户端软件的远程用户可以通过该软件访问隧道。

步骤 7.点击 Save(保存),以保存设置。

IPSec 设置选项

互联网协议安全(IPSec)是一种互联网层安全协议,其在任何通信会话期间通过身份验证和加密提供端到端安全。

注意:VPN的两端需要采用相同的加密、解密和身份验证方法,IPSec才能正常工作。此外,隧道两端的完全向前保密密钥也必须相同。

步骤1:从Keying Mode下拉列表中选择适当的密钥管理模式以确保安全性。默认模式为 IKE with Preshared key(带预共享密钥的 IKE)

  • 手动 - 一种自定义安全模式,可以自行生成新的安全密钥,而无需与密钥进行协商。最好在故障排除和小型静态环境中使用。如果在“Add A New Tunnel”(添加新隧道)部分的第 1 步中选择了“Group VPN”(组 VPN),则此选项处于禁用状态。
  • 带预共享密钥的 IKE - 互联网密钥交换 (IKE) 协议用于自动生成和交换预共享密钥,以建立隧道的身份验证通信。 

手动密钥模式配置

步骤1:在Incoming SPI(传入SPI)字段中输入传入安全参数索引(SPI)的唯一十六进制值。SPI 包含封装安全负载协议 (ESP) 报头中,它们共同确定对传入数据包的保护方式。您可以输入 100 到 ffffffff。本地路由器的传入 SPI 需要与远程路由器的传出 SPI 匹配。

第二步:在Outgoing SPI(传出SPI)字段中输入传出安全参数索引(SPI)的唯一十六进制值。SPI 包含在封装安全负载协议 (ESP) 报头中,它们共同确定传出数据包的保护方式。 您可以输入 100 到 ffffffff。远程路由器的传出 SPI 需要与本地路由器的传入 SPI 匹配。

第三步:从Encryption下拉列表中选择数据的相应加密方法。推荐的加密方法为 3DES。 VPN 隧道的两端需要使用相同的加密方法。

  • DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES 已过时,仅当一个终端仅支持 DES 时,才应使用此方法。
  • 3DES — 三重数据加密标准(3DES)是一种168位、简单的加密方法。3DES 对数据进行三次加密,可提供比 DES 更高的安全性 。

第四步:从Authentication下拉列表中选择数据的相应身份验证方法。推荐的身份验证方法为 SHA1,因为它比 MD5 更安全。VPN 隧道的两端需要使用相同的身份验证方法。

  • MD5 — 消息摘要算法–5(MD5)代表32位十六进制哈希函数,通过校验和计算为数据提供保护,使其免受恶意攻击。
  • SHA1 — 安全散列算法版本1(SHA1)是一个160位散列函数,比MD5更安全,但计算时间更长。

第五步:在Encryption Key字段中输入要加密和解密数据的密钥。如果您在第 3 步中选择 DES 作为加密方法,请输入 16 位十六进制值。如果您在第 3 步中选择 3DES 作为加密方法,请输入 40 位十六进制值。

第六步:在Authentication Key字段中输入预共享密钥以对流量进行身份验证。 如果您在第 4 步中选择 MD5 作为身份验证方法,请输入 32 位十六进制值。如果您在第 4 步中选择 SHA 作为身份验证方法,请输入 40 位十六进制值。VPN 隧道的两端需要使用相同的预共享密钥。

步骤 7.点击 Save(保存),以保存设置。

带预共享密钥的 IKE 模式配置

步骤1:从Phase 1 DH Group(第1阶段DH组)下拉列表中选择相应的第1阶段DH组。第 1 阶段用于在隧道两端之间建立单工逻辑安全关联 (SA),以支持安全的身份验证通信。Diffie-hellman (DH) 是一种加密密钥交换协议,用于在第 1 阶段确定密钥强度并共享密钥以验证通信。 

  • 第 1 组 - 768 位 - 最低强度的密钥和最不安全的身份验证组。但是,它需要更少的时间来计算 IKE 密钥。如果网络速度较慢,则首选此选项。
  • 第 2 组 - 1024 位 - 较高强度的密钥和更安全的身份验证组。但是,它需要一些时间来计算 IKE 密钥。 
  • 第 5 组 - 1536 位 - 表示最高强度的密钥和最安全的身份验证组。它需要更多时间来计算 IKE 密钥。如果网络速度较快,则首选此选项。

 

第二步: 从Phase 1 Encryption下拉列表中选择相应的Phase 1 Encryption以加密密钥。推荐使用 3DES,因为它是最安全的加密方法。VPN 隧道的两端需要使用相同的加密方法。

  • DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES 已过时,仅当一个终端仅支持 DES 时,才应使用此方法。
  • 3DES — 三重数据加密标准(3DES)是一种168位、简单的加密方法。3DES 对数据进行三次加密,可提供比 DES 更高的安全性 。
  • AES-128 — 高级加密标准(AES)是128位加密方法,它通过10个周期的重复将纯文本转换为加密文本。
  • AES-192 — 高级加密标准(AES)是192位加密方法,它通过12个周期的重复将纯文本转换为加密文本。AES-192 比 AES-128 更安全。
  • AES-256 — 高级加密标准(AES)是256位加密方法,它通过14个周期的重复将纯文本转换为加密文本。AES-256 是最安全的加密方法。

第三步:从Phase 1 Authentication下拉列表中选择适当的第1阶段身份验证方法。 VPN 隧道的两端需要使用相同的身份验证方法。

  • MD5 — 消息摘要算法–5(MD5)代表32位十六进制哈希函数,通过校验和计算为数据提供保护,使其免受恶意攻击。
  • SHA1 — 安全散列算法版本1(SHA1)是一个160位散列函数,比MD5更安全,但计算时间更长。

第四步:在Phase 1 SA Life Time字段中输入第1阶段密钥有效且VPN隧道保持活动状态的时间量(以秒为单位)。

第五步:选中 Perfect Forward Secrecy(完全向前保密)复选框,为密钥提供更多保护。如果任何密钥被盗取,此选项允许路由器生成新密钥。加密的数据只会通过被盗取的密钥泄露。因此,它可提供更安全的通信并对其进行身份验证,其原因在于即使一个密钥被盗取,它也能保护其他密钥。推荐采取此操作,因为它可以提供更高的安全性。

第六步: 从Phase 2 DH Group下拉列表中选择适当的第2阶段DH组。第 2 阶段使用安全关联,用于在数据包通过两个终端时确定数据包的安全性。

  • 第 1 组 - 768 位 - 表示最低强度的密钥和最不安全的身份验证组。但是,它需要更少的时间来计算 IKE 密钥。如果网络速度较慢,则首选此选项。
  • 第 2 组 - 1024 位 - 表示较高强度的密钥和更安全的身份验证组。但是,它需要一些时间来计算 IKE 密钥。 
  • 第 5 组 - 1536 位 - 表示最高强度的密钥和最安全的身份验证组。它需要更多时间来计算 IKE 密钥。如果网络速度较快,则首选此选项。

    • 步骤 7.从Phase 2 Encryption下拉列表中选择相应的Phase 2 Encryption以加密密钥。推荐使用 AES-256,因为它是最安全的加密方法。VPN 隧道的两端需要使用相同的加密方法。

    • DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES 已过时,仅当一个终端仅支持 DES 时,才应使用此方法。
    • 3DES — 三重数据加密标准(3DES)是一种168位、简单的加密方法。3DES 对数据进行三次加密,可提供比 DES 更高的安全性 。
    • AES-128 — 高级加密标准(AES)是128位加密方法,它通过10个周期的重复将纯文本转换为加密文本。
    • AES-192 — 高级加密标准(AES)是192位加密方法,它通过12个周期的重复将纯文本转换为加密文本。AES-192 比 AES-128 更安全。
    • AES-256 — 高级加密标准(AES)是256位加密方法,它通过14个周期的重复将纯文本转换为加密文本。AES-256 是最安全的加密方法。

    步骤 8从Phase 2 Authentication下拉列表中选择相应的身份验证方法。 VPN 隧道的两端需要使用相同的身份验证方法。

    • MD5 — 消息摘要算法–5(MD5)代表32位十六进制哈希函数,通过校验和计算为数据提供保护,使其免受恶意攻击。
    • SHA1 — 安全散列算法版本1(SHA1)是一个160位散列函数,比MD5更安全,但计算时间更长。
    • 空值 - 不使用任何验证方法。

    步骤 9在Phase 2 SA Life Time字段中输入第2阶段密钥有效且VPN隧道保持活动状态的时间量(以秒为单位)。

    步骤 10在Preshared Key字段中输入之前在IKE对等体之间共享的密钥,以对对等体进行身份验证。最多可以使用 30 个十六进制字符作为预共享密钥。VPN 隧道的两端需要使用相同的预共享密钥。

    注意:强烈建议经常更改IKE对等体之间的预共享密钥,以使VPN保持安全。 

    步骤 11如果要启用预共享密钥强度计,请选中 Minimum Preshared Key Complexity(预共享密钥最小复杂度)复选框。它用于通过颜色条确定预共享密钥的强度。

    注意: Preshared Key Strength Meter通过彩色条显示预共享密钥的强度。红色表示强度弱,黄色表示强度可接受,绿色表示强度高。

    步骤 12点击 Save(保存),以保存设置。

    带预共享密钥的高级 IKE 模式配置

    步骤1:单击Advanced以显示带预共享密钥的IKE的高级设置。 

    第二步:如果网络速度较慢,请选中 Aggressive Mode(积极模式)复选框。这将在 SA 连接期间以明文形式交换隧道终端的 ID(第 1 阶段),这需要较少的交换时间,但安全性较低。

    注意:主动模式不适用于组客户端到网关VPN连接。

    第三步:如果要压缩IP数据报的大小,请选中Compress(Support IP Payload Compression Protocol(IPComp)复选框。IPComp 是一种 IP 压缩协议,用于压缩 IP 数据报的大小。如果网络速度较慢,并且用户希望通过慢速网络快速传输数据而不会造成任何损失,则 IP 压缩非常有用,但它无法提供任何安全性。

    第四步:如果您始终希望 VPN 隧道的连接保持活动状态,请选中 Keep-Alive 复选框。如果任何连接变为非活动状态,Keep Alive 有助于立即重新建立连接。

     

    第五步: 如果要启用身份验证报头 (AH),请选中 AH Hash Algorithm(AH 散列算法)复选框。AH 通过校验和提供源数据和数据完整性的身份验证,并为 IP 报头提供保护。隧道的两端应使用相同的算法。

    • MD5 — 消息摘要算法–5(MD5)代表128位十六进制哈希函数,通过校验和计算为数据提供保护,使其免受恶意攻击。
    • SHA1 — 安全散列算法版本1(SHA1)是一个160位散列函数,比MD5更安全,但计算时间更长。

    第六步:如果要允许不可路由流量通过 VPN 隧道,请选中 NetBIOS Broadcast(NetBIOS 广播)。默认情况下为未选中状态。NetBIOS 用于通过一些软件应用和网上邻居等 Windows 功能来检测网络中的网络资源,例如打印机、计算机等。 

    步骤 7.如果要通过公共 IP 地址从专用 LAN 访问互联网,请选中 NAT Traversal(NAT 遍历)复选框。如果 VPN 路由器在 NAT 网关之后,请选中此复选框以启用 NAT 遍历。隧道的两端必须具有相同的设置。

    步骤 8选中 Dead Peer Detection Interval(失效对等体检测间隔),以定期通过 Hello 或 ACK 检查 VPN 隧道的活跃性。如果选中此复选框,请输入 Hello 消息的所需持续时间或间隔。

    注意:只能为单个客户端到网关VPN连接配置失效对等项检测间隔,而不能为组客户端到网关VPN连接配置失效对等项检测间隔。

    步骤 9点击 Save(保存),以保存设置。

    现在,您已经了解如何在 RV016、RV042、RV042G 和 RV082 VPN 路由器上配置从客户端到网关的远程访问 VPN 隧道。

    修订历史记录

    版本 发布日期 备注
    1.0
    10-Dec-2018
    初始版本

    此文档是否有帮助?

    Feedback反馈

    联系我们