Mode de introduction manuel de profil de configuration d'IPSec sur RV160 et RV260
Objectif
L'objectif de ce document est de t'afficher comment configurer le profil IPSec pour le mode de introduction manuel sur des Routeurs de gammes RV160 et RV260.
Introduction
IPsec s'assure que vous avez la communication privée sécurisée au-dessus de l'Internet. Il donne deux ou plus héberge l'intimité, l'intégrité, et l'authenticité pour les informations confidentielles de transmission au-dessus de l'Internet. IPsec est utilisé généralement dans un réseau privé virtuel (VPN), mis en application à la couche IP, et peut aider beaucoup d'applications qui manquent de la Sécurité. Un VPN est utilisé pour fournir un mécanisme de communication protégée pour les données sensibles et les informations IP qui sont transmises par un réseau unsecure tel que l'Internet. Il fournit une solution flexible pour que des utilisateurs distants et l'organisation protège n'importe quelles informations confidentielles contre d'autres interlocuteurs sur le même réseau.
Le mode de introduction manuel réduit la flexibilité et les options d'IPsec. Il exige de l'utilisateur de fournir le matériel de base et les informations nécessaires d'association de sécurité à chaque périphérique qui est configuré. L'introduction de manuel ne mesure pas bien car il est habituellement meilleur utilisé dans un petit environnement.
Il est seulement recommandé d'utiliser cette méthode si l'implémentation de l'échange de clés Internet (IKE) (IKE)v1 ou IKEv2 sur ce routeur n'est pas identique que votre routeur distant ou si un des Routeurs ne prend en charge pas l'IKE. Dans des ces cas, vous pourriez manuellement entrer les clés. Il est recommandé pour configurer le mode de introduction automatique pour le profil IPSec au lieu du mode de introduction manuel si votre routeur prend en charge IKEv1 ou IKEv2 et suit les mêmes normes.
En utilisant le manuel introduisant le mode, assurez-vous que votre clé dedans sur votre routeur local est la clé sur le routeur distant et la clé dedans sur votre routeur distant est la clé sur votre routeur local.
Un exemple de la configuration pour les deux Routeurs serait :
| Champ | Router A | Router B |
| SPI entrant | 100 | 100 |
| SPI sortant | 100 | 100 |
| Cryptage | AES-256 | AES-256 |
| Clé-dans | … 91bb2b489ba0d28c7741b | … 858b8c5ec355505650b16 |
| Clé- | … 858b8c5ec355505650b16 | … 91bb2b489ba0d28c7741b |
| Authentification | SHA2-256 | SHA2-256 |
| Clé-dans | … A00997ec3a195061c81e4 | … 2f2de681af020b9ad5f3e3 |
| Clé- | … 2f2de681af020b9ad5f3e3 | … A00997ec3a195061c81e4 |
Les informations complémentaires au sujet de la technologie de Cisco IPsec peuvent être trouvées dans ce lien : Introduction à la technologie de Cisco IPSec.
Pour apprendre comment configurer des profils IPSecs utilisant le mode de introduction automatique sur le RV160 et le RV260, a cliquez ici.
Pour apprendre comment configurer le site à site VPN sur le RV160 et le RV260, a cliquez ici.
Pour configurer le site à site VPN utilisant l'assistant de configuration, voyez s'il vous plaît l'article en fonction : Configurer l'assistant de configuration VPN sur le RV160 et le RV260.
Périphériques applicables
· RV160
· RV260
Version de logiciel
· 1.0.00.15
Profil de configuration d'IPSec utilisant le mode de introduction manuel
Étape 1. Procédure de connexion à l'utilitaire de configuration Web.
Étape 2. Naviguez vers VPN > IPSec VPN > profils IPSecs.
Étape 3. Appuyez sur l'icône plus pour créer un nouveau profil IPSec.
Étape 4. Écrivez un nom de profil dans le domaine de nom de profil.
Étape 5. Manuel choisi pour le mode de introduction.
Étape 6. Dans la section de configuration IPSec, écrivez l'index de paramètre de Sécurité (SPI) entrant et le SPI sortant. Le SPI est une balise d'identification ajoutée à l'en-tête tout en utilisant IPsec pour percer un tunnel le trafic IP. Cette balise aide le noyau à discerner entre les deux flux de trafic où les différents règles et algorithmes de cryptage peuvent être en service. La plage hexadécimale est de 100-FFFFFFFF.
Nous utiliserons la valeur par défaut de 100 pour le SPI entrant et sortant.
Étape 7. Sélectionnez un cryptage (3DES, AES-128, AES-192, ou AES-256) de la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer ou déchiffrer des paquets ESP/ISAKMP. Le chiffrement DES d'utilisations de Norme 3DES (Triple Data Encryption Standard) trois fois mais est maintenant un algorithme existant. Ceci signifie qu'il devrait seulement être utilisé quand il n'y a aucune meilleure solution de rechange puisqu'il fournit toujours un niveau de Sécurité marginal mais acceptable. Les utilisateurs devraient seulement l'utiliser s'il a exigé pour ascendant la compatibilité car il est vulnérable à quelques attaques « de collision de bloc ». Il n'est pas recommandé pour utiliser 3DES car il n'est pas considéré sécurisé.
Le Norme AES (Advanced Encryption Standard) est un algorithme de chiffrement qui est conçu pour être plus sécurisés que 3DES. AES utilise une plus grande taille de clé qui s'assure que la seule approche connue pour déchiffrer un message est pour qu'un intrus essaye chaque clé possible. Il est recommandé pour utiliser AES si votre périphérique peut le prendre en charge.
Dans cet exemple, nous utiliserons AES-256 en tant que notre cryptage.
Étape 8. Introduisez un nombre hexadécimal de 64 caractères dans la clé dans le domaine. C'est la clé pour les paquets de déchiffrage de l'ESP reçus dans le format hexadécimal.
Pratique recommandée : Utilisez un générateur hexadécimal aléatoire pour configurer votre clé dedans et pour l'introduire. Assurez-vous que le routeur distant a le même nombre hexadécimal.
Étape 9. Écrivez 64 caractères que le nombre hexadécimal dans la clé mettent en place. C'est la clé pour chiffrer les paquets ordinaires dans le format hexadécimal.
Étape 10. La méthode d'authentification détermine comment les paquets d'en-tête de l'ESP sont validés. C'est l'algorithme de hachage utilisé dans l'authentification pour valider que le côté A et le côté B sont vraiment qui ils disent qu'ils sont.
Le MD5 est un algorithme de hachage à sens unique qui produit un condensé 128-bit et est plus rapide que SHA1. Le SHA1 est un algorithme de hachage à sens unique qui produit un condensé 160-bit tandis que SHA2-256 produit un condensé 256-bit. SHA2-256 est recommandé parce qu'il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1, ou SHA2-256).
Dans cet exemple, nous sélectionnerons SHA2-256.
Étape 11. Entrez dans un nombre hexadécimal de 64 caractères dans la clé dans le domaine. C'est la clé pour les paquets de déchiffrage de l'ESP reçus dans le format hexadécimal.
Étape 12. Écrivez dans 64 caractères que le nombre hexadécimal dans la clé mettent en place. C'est la clé pour chiffrer les paquets ordinaires dans le format hexadécimal.
Étape 13. La presse s'appliquent pour créer le nouveau profil IPSec.
Étape 14. En haut de la page, cliquez sur le bouton de sauvegarde. Vous serez dirigé vers la page de gestion de la configuration.
Étape 15. Toutes les configurations que le routeur utilise actuellement sont dans le fichier de configuration en cours. La configuration sera perdue si le périphérique perd l'alimentation ou est redémarré. Copier le fichier de configuration en cours sur le fichier de configuration de démarrage s'assure que la configuration sera enregistrée. Sous la gestion de la configuration, assurez-vous que la source est configuration en cours et la destination est configuration de démarrage. Cliquez sur Apply.
Conclusion
Vous devriez avoir maintenant avec succès configuré le profil IPSec utilisant le mode de introduction manuel sur votre RV160 ou RV260.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)