Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Passerelle à la configuration du réseau privé virtuel de passerelle (VPN) sur la gamme du routeur VPN RV320 et RV325

Options de téléchargement

  • PDF     (315.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (297.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (527.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 mai 2019
ID du document:SMB4270
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Passerelle à la configuration du réseau privé virtuel de passerelle (VPN) sur la gamme du routeur VPN RV320 et RV325

Objectif

Des VPN sont utilisés pour former très des connexions sécurisées plus de deux points finaux, au-dessus de public ou d'Internet partagé, par ce qui s'appelle un tunnel VPN. Plus spécifiquement une connexion VPN de passerelle-à-passerelle tient compte pour que deux Routeurs se connectent sécurisé entre eux et d'un client dans une extrémité à sembler logiquement faire partie du même réseau distant sur l'autre extrémité. Ceci active des données et des ressources à partager plus facilement et sécurisé au-dessus de l'Internet. La configuration doit être faite des deux côtés de la connexion pour qu'une connexion VPN réussie de passerelle-à-passerelle soit établie. Le but de l'article est de vous guider avec la configuration d'une connexion VPN de passerelle-à-passerelle sur la gamme de routeur VPN RV32x. 

Périphériques applicables

• RV320 conjuguent routeur VPN BLÊME
• Double routeur VPN BLÊME du gigabit RV325

Version de logiciel

• v1.1.0.09

Passerelle à la passerelle

Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez VPN > passerelle à la passerelle. La passerelle à la page de passerelle s'ouvre :

Pour que la connexion VPN fonctionne correctement, les valeurs d'IPSec (IPSec) des deux côtés de la connexion doivent être identiques. Les deux côtés de la connexion doivent appartenir à différents réseaux locaux (réseaux locaux), et au moins à un des Routeurs à être identifiables par une adresse IP statique ou une adresse Internet dynamique de DN.

Ajoutez un nouveau tunnel

• No. de tunnel — Affiche le tunnel en cours qui va être créé. Le routeur prend en charge 100 tunnels.

Étape 1. Écrivez un nom pour le tunnel VPN dans la zone d'identification de tunnel. Il ne doit pas apparier le nom utilisé à l'autre bout du tunnel.

Étape 2. De la liste déroulante d'interface choisissez le port de réseau étendu (WAN) pour l'utiliser pour le tunnel.

• WAN1 — Le port WAN dédié du routeur.

• WAN2 — Le port WAN2/DMZ du routeur. Seulement affichages dans le menu déroulant s'il n'a été configuré car un WAN et pas un port de la zone de démilitarisation (DMZ).

• USB1 — Le port USB1 du routeur. Fonctionne seulement s'il y a un dongle 3G/4G/LTE USB relié au port.

• USB2 — Le port USB2 du routeur. Fonctionne seulement s'il y a un dongle 3G/4G/LTE USB relié au port.

Étape 3. De la liste déroulante de introduction de mode choisissez le degré de sécurité de tunnel pour l'utiliser.

• Manuel — Cette option vous permet manuellement de configurer la clé au lieu d'être en pourparlers la clé avec l'autre côté de la connexion VPN.

• IKE avec la clé pré-partagée — Choisissez cette option d'activer l'échange de clés Internet (IKE) Protocol (IKE) qui a installé une association de sécurité dans le tunnel VPN. L'IKE utilise une clé pré-partagée pour authentifier un pair distant.

• IKE avec le certificat — Choisissez cette option d'activer le protocole d'Échange de clés Internet (IKE) avec le certificat qui offre plus de moyen sûr automatiquement de générer et permuter des clés pré-partagées pour établir des communications plus authentifiées et plus protégées pour le tunnel.

Étape 4. Cochez la case d'enable pour activer le tunnel VPN. Par défaut il est activé.

Group Setup local

Ces configurations devraient apparier les configurations « de Group Setup distant » pour le routeur sur l'autre extrémité du tunnel VPN.

Remarque: Si le manuel ou l'IKE avec la clé pré-partagée était sélectionné de la liste déroulante de introduction de mode de l'étape 3 Add un nouveau début de tunnel de l'étape 1 et des étapes de saut 2 4. Si l'IKE avec le certificat était étape sélectionnée 1. de saut.

Étape 1. De la liste déroulante de type de passerelle de sécurité locale choisissez la méthode pour identifier le routeur pour établir le tunnel VPN.

• IP seulement — Access au tunnel est possible par un IP de WAN statique seulement. Vous pouvez choisir cette option si seulement le routeur a n'importe quel IP de WAN statique. L'adresse IP BLÊME statique est un champ généré par automatique.

• IP + authentification du nom de domaine (FQDN) — Access au tunnel est possible par une adresse IP statique et un domaine enregistré. Si vous choisissez cette option, écrivez le nom du domaine enregistré dans le domaine de nom de domaine. L'adresse IP BLÊME statique est un champ généré par automatique.

• Adr IP + de courrier électronique. (d'UTILISATEUR) authentification FQDN — Access au tunnel est possible par une adresse IP statique et une adresse e-mail. Si vous choisissez cette option, écrivez l'adresse e-mail dans le domaine d'adresse e-mail. L'adresse IP BLÊME statique est un champ généré par automatique.

• Dynamique IP + authentification du nom de domaine (FQDN) — Access au tunnel est possible par une adresse IP dynamique et un domaine enregistré. Si vous choisissez cette option, écrivez le nom du domaine enregistré dans le domaine de nom de domaine.

• Dynamique adr IP + d'email. (d'UTILISATEUR) authentification FQDN — Access au tunnel est possible par une adresse IP dynamique et une adresse e-mail. Si vous choisissez cette option, écrivez l'adresse e-mail dans le domaine d'adresse e-mail.

Remarque: Les modifications suivantes sur la région de Group Setup locale changent en fonctionnant avec l'IKE avec le certificat.

La liste déroulante de type de passerelle de sécurité locale devient uneditable et affiche IP + certificat. C'est la ressource en RÉSEAU LOCAL qui peut utiliser le tunnel.
Le champ IP Address affiche l'adresse IP BLÊME du périphérique. Ce n'est pas utilisateur editable.

Étape 2. Choisissez un certificat de la liste déroulante locale de certificat. Les Certificats fournissent une Sécurité plus forte d'authentification sur les connexions VPN.

Clic (facultatif) d'étape 3. le bouton d'Auto-générateur pour afficher la fenêtre de générateur de certificat pour configurer et générer des Certificats.

Clic (facultatif) d'étape 4. le bouton de certificat d'importation pour afficher la ma fenêtre de certificat pour visualiser et configurer des Certificats.

Étape 5. De la liste déroulante de type de groupe de sécurité locale choisissez un de ce qui suit :

• Adresse IP — Cette option vous permet de spécifier un périphérique qui peut utiliser ce tunnel VPN. Vous devez seulement écrire l'adresse IP du périphérique dans le domaine d'adresse IP.

• Sous-réseau — Choisissez cette option de permettre tous les périphériques qui appartiennent au même sous-réseau pour utiliser le tunnel VPN. Vous devez écrire l'adresse IP de réseau dans le champ IP Address et son masque de sous-réseau respectif dans le domaine de masque de sous-réseau.

• Plage IP — Choisissez cette option de spécifier une plage des périphériques qui peuvent utiliser le tunnel VPN. Vous devez écrire la première adresse IP et la dernière adresse IP de la plage des périphériques dans le domaine IP de champ et d'extrémité IP de commencer.

Group Setup distant

Ces configurations devraient apparier les configurations « de Group Setup local » pour le routeur sur l'autre extrémité du tunnel VPN.

Remarque: Si le manuel ou l'IKE avec la clé pré-partagée était sélectionné de la liste déroulante de introduction de mode de l'étape 3 Add un nouveau début de tunnel de l'étape 1 et des étapes de saut 2 5. Ou si l'IKE avec le certificat était étape sélectionnée 1. de saut.

Étape 1. De la liste déroulante de type de passerelle de sécurité distante, choisissez la méthode pour identifier l'autre routeur pour établir le tunnel VPN.

• IP seulement — Access au tunnel est possible par un IP de WAN statique seulement. Si vous connaissez l'adresse IP du routeur distant choisissez l'adresse IP sur la liste déroulante directement au-dessous du champ de type de passerelle de sécurité distante et introduisez l'adresse. Choisissez l'IP par des DN résolus si vous ne connaissez pas l'adresse IP mais connaître le nom de domaine et écrire le nom de domaine du routeur dans l'IP par des DN résolus mettent en place.

• IP + authentification du nom de domaine (FQDN) — Access au tunnel est possible par une adresse IP statique et un domaine enregistré du routeur. Si vous connaissez l'adresse IP du routeur distant choisissez l'adresse IP sur la liste déroulante directement au-dessous du champ de type de passerelle de sécurité distante et introduisez l'adresse. Choisissez l'IP par des DN résolus si vous ne connaissez pas l'adresse IP mais connaître le nom de domaine et écrire le nom de domaine du routeur dans l'IP par des DN résolus mettent en place. Si vous choisissez cette option, écrivez le nom du domaine enregistré dans le domaine de nom de domaine.

• Adr IP + d'email. (d'UTILISATEUR) authentification FQDN — Access au tunnel est possible par une adresse IP statique et une adresse e-mail. Si vous connaissez l'adresse IP du routeur distant choisissez l'adresse IP sur la liste déroulante directement au-dessous du champ de type de passerelle de sécurité distante et introduisez l'adresse. Choisissez l'IP par des DN résolus si vous ne connaissez pas l'adresse IP mais connaître le nom de domaine et écrire le nom de domaine du routeur dans l'IP par des DN résolus mettent en place. Écrivez l'adresse électronique dans le domaine d'adresse e-mail.

• Dynamique IP + authentification du nom de domaine (FQDN) — Access au tunnel est possible par une adresse IP dynamique et un domaine enregistré. Si vous choisissez cette option, écrivez le nom du domaine enregistré dans le domaine de nom de domaine.

• Dynamique adr IP + d'email. (d'UTILISATEUR) authentification FQDN — Access au tunnel est possible par une adresse IP dynamique et une adresse e-mail. Si vous choisissez cette option, écrivez l'adresse e-mail dans le domaine d'adresse e-mail.
Remarque: Si les deux Routeurs ont les adresses IP dynamiques ne choisissent pas dynamique IP + adresse e-mail pour les deux passerelles.

Remarque: Les modifications suivantes sur la région éloignée de Group Setup changent en fonctionnant avec l'IKE avec le certificat.

La liste déroulante de type de passerelle de sécurité distante devient uneditable et affiche IP + certificat. C'est la ressource en RÉSEAU LOCAL qui peut utiliser le tunnel.

Étape 2. Si vous connaissez l'adresse IP du routeur distant choisissez l'adresse IP sur la liste déroulante directement au-dessous du champ de type de passerelle de sécurité distante et introduisez l'adresse. Choisissez l'IP par des DN résolus si vous ne connaissez pas l'adresse IP mais connaître le nom de domaine et écrire le nom de domaine du routeur distant dans l'IP par des DN résolus mettent en place

Étape 3. Choisissez un certificat de la liste déroulante distante de certificat. Les Certificats fournissent une Sécurité plus forte d'authentification sur les connexions VPN.

Clic (facultatif) d'étape 4. le bouton distant de certificat d'importation pour importer un nouveau certificat.

Clic (facultatif) d'étape 5. le bouton CSR d'autorisation pour identifier le certificat avec une demande de signature numérique.

Étape 6. De la liste déroulante de type de groupe de sécurité locale choisissez un de ce qui suit :

• Adresse IP — Cette option vous permet de spécifier un périphérique qui peut utiliser ce tunnel VPN. Vous devez seulement écrire l'adresse IP du périphérique dans le domaine d'adresse IP.

• Sous-réseau — Choisissez cette option de permettre tous les périphériques qui appartiennent au même sous-réseau pour utiliser le tunnel VPN. Vous devez écrire l'adresse IP de réseau dans le champ IP Address et son masque de sous-réseau respectif dans le domaine de masque de sous-réseau.

• Plage IP — Choisissez cette option de spécifier une plage des périphériques qui peuvent utiliser le tunnel VPN. Vous devez écrire la première adresse IP et la dernière adresse IP de la plage des périphériques. Dans le domaine IP de champ et d'extrémité IP de commencer.

Installation d'IPSec

Pour que le cryptage soit correctement installé entre les deux extrémités du tunnel VPN ils doivent chacun des deux avoir le précis les mêmes configurations. IPSec crée dans ce cas une authentification sécurisée entre les deux périphériques. Il fait ainsi en deux phases.

IPSec a installé pour le mode de introduction manuel

Seulement disponible si le manuel était sélectionné de la liste déroulante de introduction de mode de l'étape 3 Add un nouveau tunnel. C'est une security mode faite sur commande pour générer une nouvelle clé de Sécurité par vous-même et pas à la négociation avec la clé. C'est le meilleur à l'utiliser pendant le dépannage et le petit environnement statique.

Étape 1. Écrivez la seule valeur hexadécimale pour l'index entrant de paramètre de Sécurité (SPI) dans le domaine entrant SPI. Le SPI est dedans portée en-tête de Protocol de Protocole ESP (Encapsulating Security Payload) qui déterminent ensemble la protection pour le paquet entrant. Vous pouvez entrer de 100 à FFFFFFFF.

Étape 2. Écrivez la seule valeur hexadécimale pour le SPI dans le domaine sortant SPI. Le SPI est dedans portée en-tête de l'ESP qui déterminent ensemble la protection pour le paquet sortant. Vous pouvez entrer de 100 à FFFFFFFF.

Remarque: Le SPI entrant et sortant devrait s'apparier aux deux extrémités afin d'établir un tunnel.

Étape 3. Choisissez la méthode de cryptage appropriée de la liste déroulante de cryptage. Le cryptage recommandé est 3DES. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

• DES — DES (norme de chiffrement de données) est un 56-bit vieux, plus vers l'arrière - compatible, la méthode de cryptage qui n'est pas aussi tout sécurisé qu'il est facile de s'interrompre.

• 3DES — 3DES (norme de chiffrement de données triple) est un bit 168, méthode de cryptage simple pour augmenter la taille de clé chiffre les données pendant trois fois qui fournissent plus de DES de Sécurité puis.

Étape 4. Choisissez la méthode d'authentification appropriée de la liste déroulante d'authentification. L'authentification recommandée est SHA1. Le tunnel VPN doit utiliser la même méthode d'authentification pour chacun des deux ses extrémités.

• MD5 — MD5 (fonction d'informations parasites hexadécimale de chiffre de condensé de message Algorithm-5)represents 32 qui assurent la protection aux données contre l'attaque malveillante par le calcul de somme de contrôle.

• SHA1 — SHA1 (la version de Secure Hash Algorithm 1) est une fonction d'informations parasites 160-bit qui est plus sécurisé que le MD5.

Étape 5. Introduisez la clé pour chiffrer et déchiffrer des données dans le domaine de clé de chiffrement. Si vous choisissez le DES comme méthode de cryptage dans l'étape 3, écrivez une valeur hexadécimale de 16 chiffres. Si vous choisissez 3DES comme méthode de cryptage dans l'étape 3, écrivez une valeur hexadécimale de 40 chiffres.

Étape 6. Introduisez une clé pré-partagée pour authentifier le trafic dans la zone de tri d'authentification. Si vous choisissez le MD5 comme méthode d'authentification dans l'étape 4, écrivez une valeur hexadécimale de 32 chiffres. Si vous choisissez le SHA comme méthode d'authentification dans l'étape 4, écrivez une valeur hexadécimale de 40 chiffres. Le tunnel VPN doit utiliser la même clé pré-partagée pour chacun des deux ses extrémités.

Étape 7. Sauvegarde de clic pour sauvegarder les configurations.

IPSec a installé pour l'IKE avec la clé pré-partagée

Seulement disponible si l'IKE avec la clé pré-partagée était sélectionné de la liste déroulante de introduction de mode de l'étape 3 Add un nouveau tunnel.

Étape 1. Choisissez le groupe approprié CAD de Phase 1 de la liste déroulante de groupe CAD de Phase 1. Le Phase 1 est utilisé pour établir l'association de sécurité recto et logique (SA) entre les deux extrémités du tunnel pour prendre en charge sécurisé authentifient la transmission. Le Protocole DH (Diffie-Hellman) est un protocole d'échange de clés de chiffrement qui est utilisé pendant la connexion de Phase 1 pour partager une clé secrète pour authentifier la transmission.

• Le groupe 1 - le bit 768 — représente la clé la plus de haute résistance et les la plupart sécurisent le groupe d'authentification. Il a besoin de plus d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est élevée.

• Le groupe 2 - le bit 1024 — représente une clé plus de haute résistance et plus groupe sécurisé d'authentification. Il a besoin d'un certain temps pour calculer les clés d'IKE.

• Le groupe 5 - le bit 1536 — représente la clé la plus de moindre force et le groupe d'authentification le plus non sécurisé. Il a besoin de moins d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est basse.

Étape 2. Choisissez le cryptage approprié de Phase 1 pour chiffrer la clé de la liste déroulante de cryptage de Phase 1. AES-128, AES-192, ou AES-256 sont recommandés. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

• DES — Le Norme de chiffrement de données (DES) est 56-bit, la vieille méthode de cryptage qui n'est pas méthode de cryptage très sécurisée en monde d'aujourd'hui.

• 3DES — Le Norme 3DES (Triple Data Encryption Standard) est des 168-bit, méthode de cryptage simple pour augmenter la taille de clé chiffre les données pendant trois fois qui fournissent plus de Sécurité que le DES.

• AES-128 — Le Norme AES (Advanced Encryption Standard) est la méthode de cryptage 128-bit qui transforme le texte brut en texte de chiffrement par 10 répétitions de cycles.

• AES-192 — Est la méthode de cryptage 192-bit qui transforme le texte brut en texte de chiffrement par 12 répétitions de cycles.

• AES-256 — Est une méthode de cryptage 256-bit qui transforme le texte brut en texte de chiffrement par 14 répétitions de cycles.

Étape 3. Choisissez la méthode d'authentification appropriée de la liste déroulante d'authentification de Phase 1. Le tunnel VPN doit utiliser la même méthode d'authentification pour chacun des deux ses extrémités. SHA1 est recommandé.

• MD5 — Le condensé de message Algorithm-5 (MD5) représente la fonction d'informations parasites hexadécimale de 32 chiffres qui assure la protection aux données contre l'attaque malveillante par le calcul de somme de contrôle.

• SHA1 — Une fonction d'informations parasites 160-bit qui est plus sécurisé que le MD5.

Étape 4. Écrivez la durée en quelques secondes que le tunnel VPN demeure actif dans le domaine de durée de vie de Phase 1 SA.

Étape 5. Cochez la case de perfect forward secrecy pour assurer plus de protection aux clés. Cette option laisse générer une nouvelle clé si n'importe quelle clé est compromise. Les données cryptées sont seulement compromises par la clé compromise. Ainsi il fournit plus sécurisé et authentifie la transmission pendant qu'il sécurise d'autres clés cependant qu'une clé est compromise. C'est une action recommandée car il fournit plus de Sécurité.

Étape 6. Choisissez le groupe approprié CAD de Phase 2 de la liste déroulante de groupe CAD de Phase 2. Le Phase 1 est utilisé pour établir l'association de sécurité recto et logique (SA) entre les deux extrémités du tunnel pour prendre en charge sécurisé authentifient la transmission. Le CAD est un protocole d'échange de clé cryptographique qui est utilisé pendant la connexion de Phase 1 pour partager la clé secrète pour authentifier la transmission.

• Le groupe 1 - le bit 768 — représente la clé la plus de haute résistance et les la plupart sécurisent le groupe d'authentification. Il a besoin de plus d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est élevée.

• Le groupe 2 - le bit 1024 — représente une clé plus de haute résistance et plus groupe sécurisé d'authentification.  Il a besoin d'un certain temps pour calculer les clés d'IKE.

• Le groupe 5 - le bit 1536 — représente la clé la plus de moindre force et le groupe d'authentification le plus non sécurisé. Il a besoin de moins d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est basse.

Remarque: Car aucune nouvelle clé n'est générée, vous n'avez pas besoin de configurer le groupe CAD de Phase 2 si vous décochez le perfect forward secrecy dans l'étape 5.

Étape 7. Choisissez le cryptage approprié de Phase 2 pour chiffrer la clé de la liste déroulante de cryptage de Phase 2. AES-128, AES-192, ou AES-256 sont recommandés. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

• DES — Le DES est 56-bit, la vieille méthode de cryptage qui n'est pas méthode de cryptage très sécurisée en monde d'aujourd'hui.

• 3DES — 3DES est un 168-bit, méthode de cryptage simple pour augmenter la taille de clé chiffre les données pendant trois fois qui fournissent plus de Sécurité que le DES.

• AES-128 — AES est la méthode de cryptage 128-bit qui transforme le texte brut en texte de chiffrement par 10 répétitions de cycles.

• AES-192 — Est la méthode de cryptage 192-bit qui transforme le texte brut en texte de chiffrement par 12 répétitions de cycles.

• AES-256 — Est une méthode de cryptage 256-bit qui transforme le texte brut en texte de chiffrement par 14 répétitions de cycles.

Étape 8. Choisissez la méthode d'authentification appropriée de la liste déroulante d'authentification de Phase 2. Le tunnel VPN doit utiliser la même méthode d'authentification pour chacun des deux ses extrémités.

• MD5 — Le MD5 représente la fonction d'informations parasites hexadécimale de 32 chiffres qui assurent la protection aux données contre l'attaque malveillante par le calcul de somme de contrôle.

• SHA1 — La version 1 (SHA1) de Secure Hash Algorithm est une fonction d'informations parasites de 160 bits qui est plus sécurisé que le MD5.

• Null — Aucune méthode d'authentification n'est utilisée.

Étape 9. Écrivez la durée en quelques secondes que le tunnel VPN demeure actif dans le domaine de durée de vie de Phase 2 SA.

Étape 10. Cochez la case minimum de complexité de clé pré-partagée si vous voulez activer le mètre de point fort pour la clé pré-partagée.

Étape 11. Introduisez une clé qui est partagée précédemment entre les pairs d'IKE dans le domaine de clé pré-partagée. Jusqu'à 30 hexadécimaux et caractère peuvent être utilisés comme clé pré-partagée. Le tunnel VPN doit utiliser la même clé pré-partagée pour chacun des deux ses extrémités.

Remarque: Il est fortement recommandé pour changer fréquemment la clé pré-partagée entre les pairs d'IKE ainsi le VPN reste sécurisé.

Le mètre de point fort de clé pré-partagée affiche la puissance de la clé pré-partagée par des discriminations raciales. Le rouge indique le point fort faible, jaune indique que le point fort et le vert acceptables indique le point fort fort.

Étape 12. Sauvegarde de clic pour sauvegarder les configurations.

Installation d'IPSec pour l'IKE avec le certificat

Seulement disponible si l'IKE avec le certificat était sélectionné de la liste déroulante de introduction de mode de l'étape 3 Add un nouveau tunnel.

Étape 1. Choisissez le groupe approprié CAD de Phase 1 de la liste déroulante de groupe CAD de Phase 1. Le Phase 1 est utilisé pour établir SA recto et logique (association de sécurité) entre les deux extrémités du tunnel pour prendre en charge sécurisé authentifient la transmission. Le CAD est un protocole d'échange de clé cryptographique qui est utilisé pendant la connexion de Phase 1 pour partager la clé secrète pour authentifier la transmission.

• Le groupe 1 - le bit 768 — représente la clé la plus de haute résistance et les la plupart sécurisent le groupe d'authentification. Mais il a besoin de plus d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est élevée.

• Le groupe 2 - le bit 1024 — représente une clé plus de haute résistance et plus groupe sécurisé d'authentification. Mais il a besoin d'un certain temps pour calculer les clés d'IKE.

• Le groupe 5 - le bit 1536 — représente la clé la plus de moindre force et le groupe d'authentification le plus non sécurisé. Il a besoin de moins d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est basse.

Étape 2. Choisissez le cryptage approprié de Phase 1 pour chiffrer la clé de la liste déroulante de cryptage de Phase 1. AES-128, AES-192, ou AES-256 sont recommandés. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

• DES — Le DES est 56-bit, la vieille méthode de cryptage qui n'est pas méthode de cryptage très sécurisée en monde d'aujourd'hui.

• 3DES — 3DES est un 168-bit, méthode de cryptage simple pour augmenter la taille de clé chiffre les données pendant trois fois qui fournissent plus de Sécurité que le DES.

• AES-128 — AES est la méthode de cryptage 128-bit qui transforme le texte brut en texte de chiffrement par 10 répétitions de cycles.

• AES-192 — Est la méthode de cryptage 192-bit qui transforme le texte brut en texte de chiffrement par 12 répétitions de cycles.

• AES-256 — Est une méthode de cryptage 256-bit qui transforme le texte brut en texte de chiffrement par 14 répétitions de cycles.

Étape 3. Choisissez la méthode d'authentification appropriée de la liste déroulante d'authentification de Phase 1. Le tunnel VPN doit utiliser la même méthode d'authentification pour chacun des deux ses extrémités. SHA1 est recommandé.

• MD5 — Le MD5 représente la fonction d'informations parasites hexadécimale de 32 chiffres qui assurent la protection aux données contre l'attaque malveillante par le calcul de somme de contrôle.

• SHA1 — Une fonction d'informations parasites 160-bit qui est plus sécurisé que le MD5.

Étape 4. Écrivez la durée en quelques secondes que le tunnel VPN demeure actif dans le domaine de durée de vie de Phase 1 SA.

Étape 5. Cochez la case de perfect forward secrecy pour assurer plus de protection aux clés. Cette option laisse générer une nouvelle clé si n'importe quelle clé est compromise. Les données cryptées sont seulement compromises par la clé compromise. Ainsi il fournit une transmission plus sécurisée et plus authentifiée pendant qu'il sécurise d'autres clés quand une autre clé est compromise. C'est une action recommandée car il fournit plus de Sécurité.

Étape 6. Choisissez le groupe approprié CAD de Phase 2 de la liste déroulante de groupe CAD de Phase 2. Le Phase 1 est utilisé pour établir SA recto et logique entre les deux extrémités du tunnel pour prendre en charge sécurisé authentifient la transmission. Le CAD est un protocole d'échange de clé cryptographique qui est utilisé pendant la connexion de Phase 1 pour partager la clé secrète pour authentifier la transmission.

• Le groupe 1 - le bit 768 — représente la clé la plus de haute résistance et les la plupart sécurisent le groupe d'authentification. Mais il a besoin de plus d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est élevée.

• Le groupe 2 - le bit 1024 — représente une clé plus de haute résistance et plus groupe sécurisé d'authentification. Mais il a besoin d'un certain temps pour calculer les clés d'IKE.

• Le groupe 5 - le bit 1536 — représente la clé la plus de moindre force et le groupe d'authentification le plus non sécurisé. Il a besoin de moins d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est basse.

Remarque: Car aucune nouvelle clé n'est générée, vous n'avez pas besoin de configurer le groupe CAD de Phase 2 si vous décochiez le perfect forward secrecy dans l'étape 5.

Étape 7. Choisissez le cryptage approprié de Phase 2 pour chiffrer la clé de la liste déroulante de cryptage de Phase 2. AES-128, AES-192, ou AES-256 sont recommandés. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

• DES — Le DES est 56-bit, la vieille méthode de cryptage qui n'est pas méthode de cryptage très sécurisée en monde d'aujourd'hui.

• 3DES — 3DES est un 168-bit, méthode de cryptage simple pour augmenter la taille de clé chiffre les données pendant trois fois qui fournissent plus de Sécurité que le DES.

• AES-128 — AES est la méthode de cryptage 128-bit qui transforme le texte brut en texte de chiffrement par 10 répétitions de cycles.

• AES-192 — Est la méthode de cryptage 192-bit qui transforme le texte brut en texte de chiffrement par 12 répétitions de cycles.

• AES-256 — Est une méthode de cryptage 256-bit qui transforme le texte brut en texte de chiffrement par 14 répétitions de cycles.

Étape 8. Choisissez la méthode d'authentification appropriée de la liste déroulante d'authentification de Phase 2. Le tunnel VPN doit utiliser la même méthode d'authentification pour chacun des deux ses extrémités.

• MD5 — Le MD5 représente la fonction d'informations parasites hexadécimale de 32 chiffres qui assurent la protection aux données contre l'attaque malveillante par le calcul de somme de contrôle.

• SHA1 — SHA1 est une fonction d'informations parasites de 160 bits qui est plus sécurisé que le MD5.

• Null — Aucune méthode d'authentification n'est utilisée.

Étape 9. Écrivez la durée en quelques secondes que le tunnel VPN demeure actif dans le domaine de durée de vie de Phase 2 SA.

Étape 10. Sauvegarde de clic pour sauvegarder les configurations.

Installation (facultative) à l'avance d'IPSec pour l'IKE avec le certificat et l'IKE avec la clé pré-partagée

Les options anticipées sont disponibles si l'IKE avec le certificat ou l'IKE avec la clé de Presahred était sélectionné de la liste déroulante de introduction de mode de l'étape 3 Add un nouveau tunnel. Les mêmes configurations sont disponibles pour les deux types d'introduire des modes.

Étape 1. Cliquez sur le bouton Advanced+ pour présenter les options anticipées d'IPSec.

Étape 2. Cochez la case agressive de mode si votre vitesse du réseau est basse. Il permute les id des points d'extrémité du tunnel en texte clair pendant la connexion SA, qui a besoin de moins d'heure de permuter mais de moins sécurisés.

Étape 3. Compresse de contrôle (protocole de compression de charge utile d'IP de support (IPComp)) case si vous voulez compresser la taille du datagramme IP. IPComp est un protocole de compression IP qui est utilisé pour compresser la taille du datagramme IP, si la vitesse du réseau est basse et l'utilisateur veut transmettre rapidement les données sans n'importe quelle perte par le réseau lent.

La case de keep-alive de l'étape 4.Check si vous voulez toujours la connexion du tunnel VPN restent active. Il aide à rétablir les connexions immédiatement si n'importe quelle connexion devient inactive.

Étape 5. Cochez OH la case d'algorithme de hachage si vous voulez à l'authentification l'en-tête d'authentifier (OH). OH fournit l'authentification à l'origine de données, intégrité des données par la somme de contrôle et la protection est étendue dans l'en-tête IP. Le tunnel devrait avoir le même algorithme pour chacun des deux ses côtés.

• MD5 — Le MD5 représente la fonction d'informations parasites hexadécimale de 128 chiffres qui assurent la protection aux données contre l'attaque malveillante par le calcul de somme de contrôle.

• SHA1 — SHA1 est une fonction d'informations parasites de 160 bits qui est plus sécurisé que le MD5.

Étape 6. Émission de Netbios de contrôle si vous voulez permettre le trafic non-routable par le tunnel VPN. Le par défaut est décoché. Netbios est utilisé pour détecter des ressources de réseau comme les imprimantes, les ordinateurs etc. dans le réseau par quelques applications logicielles et des caractéristiques de Windows comme le voisinage réseau.

Étape 7. Si votre routeur VPN est derrière une passerelle NAT, cochez la case pour activer le NAT Traversal. Le Traduction d'adresses de réseau (NAT) permet à des utilisateurs avec des adresses privées de RÉSEAU LOCAL d'accéder à des ressources Internet à l'aide d'une adresse IP publiquement routable comme adresse source. Cependant, pour le trafic d'arrivée, la passerelle NAT n'a aucune méthode automatique de traduire l'adresse IP publique à une destination particulière sur le RÉSEAU LOCAL privé. Cette question empêche des échanges réussis d'IPSec. Le NAT Traversal a installé cette traduction d'arrivée. La même configuration doit être utilisée sur les deux extrémités du tunnel.

Étape 8. Vérifiez l'intervalle de Dead Peer Detection pour vérifier la vivacité du tunnel VPN à travers bonjour ou de l'ACK d'une manière périodique. Si vous cochez cette case, écrivez la durée ou l'intervalle en quelques secondes des messages Hello que vous voulez.

Étape 9. L'authentification étendue de contrôle pour employer un nom d'utilisateur et mot de passe d'hôte d'IPSec pour authentifier des clients vpn ou pour utiliser la base de données fondent en gestion des utilisateurs. Ceci doit être enable dans des les deux périphériques pour qu'il fonctionne. Cliquez sur la case d'option d'hôte d'IPSec pour utiliser l'hôte et le nom d'utilisateur d'IPSec et pour écrire le nom d'utilisateur et mot de passe dans le champ User Name et le champ de mot de passe. Ou cliquez sur la case d'option de périphérique de périphérie pour utiliser une base de données. Choisissez la base de données désirée de la liste déroulante de périphérique de périphérie.

Étape 10. Cochez la case de sauvegarde de tunnel pour activer la sauvegarde de tunnel. Cette caractéristique est disponible quand l'intervalle de Dead Peer Detection a été coché. La caractéristique permet au périphérique de rétablir le tunnel VPN par l'intermédiaire d'une interface WAN ou d'une adresse IP alternative.

• Adresse IP de sauvegarde distante — Un IP d'alternative pour le pair distant. Écrivez lui ou l'IP de WAN qui a été déjà placé pour la passerelle distante dans ce domaine.

• Interface locale — L'interface WAN utilisée pour rétablir la connexion. Choisissez l'interface désirée de la liste déroulante.

• Temps d'inactivité de sauvegarde de tunnel VPN — Le moment choisi pour que le moment où utilise le tunnel de sauvegarde si le tunnel principal n'est pas connecté. Présentez-le en quelques secondes.

Étape 11. Cochez la case fendue de DN pour activer les DN fendus. Cette caractéristique laisse envoyer la demande de DN à un serveur DNS défini basé sur des noms de domaine spécifiés. Écrivez les noms de serveur DNS dans les domaines du serveur DNS 1 et du serveur DNS 2 et écrivez les noms de domaine dans le nom de domaine # les domaines.

Étape 12. Sauvegarde de clic pour terminer configurer le périphérique.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Discussions connexes de communautés de Cisco

Ce document s’applique à ces produits

Suivez-nous
Salle de presseÉvénementsBloguesCommunauté
À propos de nous
Communiquer Avec Nous
Travailler Avec Nous