Avez-vous un compte?
Le réseau privé virtuel (VPN) emploie le réseau public, ou l'Internet, pour établir un réseau privé pour communiquer sécurisé. Un Échange de clés Internet (IKE) est un protocole qui établit la communication protégée entre deux réseaux. Il est utilisé pour permuter une clé avant la circulation, qui assure l'authenticité pour les deux extrémités du tunnel VPN.
Les deux fins du VPN devraient suivre la même règle VPN pour communiquer les uns avec les autres avec succès.
L'objectif de ce document est d'expliquer comment ajouter un profil d'IKE et configurer la règle VPN sur le routeur de radio RV110W.
• RV110W
• 1.2.0.9
L'Échange de clés Internet (IKE) est un protocole utilisé pour établir une connexion sécurisée pour la transmission dans un VPN. Ceci établi, connexion sécurisée s'appelle une association de sécurité (SA). Cette procédure explique comment configurer une stratégie IKE pour que la connexion VPN l'utilise pour la Sécurité. Pour qu'un VPN fonctionne correctement, les stratégies IKE pour les deux points d'extrémité devraient être identiques.
Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez VPN > a avancé l'installation VPN. La page avancée d'installation VPN s'ouvre :
Étape 2. Cliquez sur Add la ligne pour créer une nouvelle stratégie IKE. La page avancée d'installation VPN s'ouvre :
Étape 3. Dans le domaine de nom de stratégie, écrivez un nom pour la stratégie IKE pour l'identifier facilement.
Étape 4. Choisissez une option de la liste déroulante de mode d'échange :
• Principal — Permet à la stratégie IKE pour actionner le mode plus sécurisé mais plus lentement qu'agressif. Choisissez cette option si un plus connexion VPN sécurisée est nécessaire.
• Agressif — Permet à la stratégie IKE pour actionner plus rapide mais moins en toute sécurité que le mode principal. Choisissez cette option si une connexion VPN plus rapide est nécessaire.
Étape 5. Choisissez un algorithme de la liste déroulante d'algorithme de chiffrement :
• DES — Le Norme de chiffrement de données (DES) utilise une taille de clé 56-bit pour le chiffrement de données. Le DES est périmé et devrait être seulement utilisé si un point final prend en charge seulement le DES.
• 3DES — Le Norme 3DES (Triple Data Encryption Standard) exécute le DES trois fois mais varie la taille de clé de 168 bits à 112 bits et de 112 bits à 56 bits selon le rond du DES exécuté. 3DES est plus sécurisé que le DES et l'AES.
• AES-128 — L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide mais moins sécurisé que 3DES, mais quelques types de matériel permettent à 3DES d'être plus rapide. AES-128 est plus rapide mais moins sécurisé qu'AES-192 et AES-256.
• AES-192 — AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisé qu'AES-128, et AES-192 est plus rapide mais moins sécurisé qu'AES-256.
• AES-256 — AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.
Étape 6. Choose a désiré l'authentification de la liste déroulante d'algorithme d'authentification :
• MD5 — L'algorithme 5 (MD5) de message-digest utilise une valeur de hachage 128-bit pour l'authentification. Le MD5 est moins sécurisés mais plus rapides que SHA-1 et SHA2-256.
• SHA-1 — La fonction de Secure Hash 1 (SHA-1) utilise une valeur de hachage 160-bit pour l'authentification. SHA-1 est plus lent mais plus sécurisé que le MD5, et SHA-1 est plus rapide mais moins sécurisé que SHA2-256.
• SHA2-256 — Le Secure Hash Algorithm 2 avec une valeur de hachage 256-bit (SHA2-256) utilise une valeur de hachage 256-bit pour l'authentification. SHA2-256 est plus lent mais sécurise que le MD5 et le SHA-1.
Étape 7. Dans la zone de tri pré-partagée, introduisez une clé pré-partagée que la stratégie IKE utilise.
Étape 8. De la liste déroulante de groupe de Protocole DH (Diffie-Hellman), choisissez que le groupe CAD l'IKE utilise. Les hôtes dans un groupe CAD peuvent permuter des clés sans connaissance de l'un l'autre. Plus le nombre de bits de groupe est élevé, les plus sécurise le groupe est.
• Groupe 1 - bit 768 — la clé la plus de moindre force et le groupe d'authentification le plus non sécurisé. Mais cela prend moins de temps de calculer les clés d'IKE. Cette option est préférée si la vitesse du réseau est basse.
• Groupe 2 - bit 1024 — la clé plus de haute résistance et plus groupe sécurisé d'authentification. Mais il a besoin d'un certain temps pour calculer les clés d'IKE.
• Le groupe 5 - le bit 1536 — représente la clé la plus de haute résistance et les la plupart sécurisent le groupe d'authentification. Il a besoin de plus d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est élevée.
Étape 9. Entrez dans combien de temps (en quelques secondes) SA pour le VPN dure avant que SA soit renouvelée dans le domaine de SA-vie.
Contrôle (facultatif) d'étape 10. la case d'enable dans le domaine de Dead Peer Detection pour activer Dead Peer Detection. Transférez les pairs par un acte d'IKE de moniteurs de détection de pair pour voir si un pair a cessé de fonctionner. Dead Peer Detection empêche les déchets des ressources de réseau sur les pairs inactifs.
Étape 11. (facultative) si vous activiez la détection de pair de contrat dans l'étape 9, entrent dans combien de fois (en quelques secondes) le pair est activité vérifiée dans le domaine de retard de pair de contrat.
Étape 12. (Facultatif) si vous activiez la détection de pair de contrat dans l'étape 9, écrivez combien de secondes à attendre avant qu'un pair inactif soit auberge lâchée le champ de délai d'attente de détection de pair de contrat.
Étape 13. Sauvegarde de clic pour appliquer toutes les configurations.
Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez VPN > a avancé l'installation VPN. La page avancée d'installation VPN s'ouvre :
Étape 2. Cliquez sur Add la ligne du Tableau de règle VPN. La fenêtre avancée d'installation de règle VPN apparaît :
Étape 1. Écrivez un nom unique pour la stratégie dans le domaine de nom de stratégie pour l'identifier facilement.
Étape 2. Choisissez le type approprié de stratégie de la liste déroulante de type de stratégie.
• Stratégie automatique — Les paramètres ont pu être placés automatiquement. Dans ce cas, en plus des stratégies, on l'exige que le protocole d'IKE (échange de clés Internet (IKE)) négocie entre les deux points finaux VPN.
• Stratégie manuelle — Dans ce cas toutes les configurations qui incluent des configurations pour des clés pour le tunnel VPN, sont manuellement entrées pour chaque point final.
Étape 3. Choisissez le type d'identifiant IP qui identifie la passerelle au point final distant de la liste déroulante distante de point final.
• Adresse IP — Adresse IP de la passerelle sur le point final distant. Si vous choisissez cette option, écrivez l'adresse IP dans le domaine.
• FQDN (nom de domaine complet) — Écrivez le nom de domaine complet de la passerelle sur le point final distant. Si vous choisissez cette option, écrivez le nom de domaine complet dans le champ approprié.
Étape 1. Choisissez le type d'identifiant que vous voulez fournir pour le point final de la liste déroulante IP de gens du pays.
• Simple — Ceci limite la stratégie à un hôte. Si vous choisissez cette option, écrivez l'adresse IP dans le domaine d'adresse IP.
• Sous-réseau — C'est un masque qui définit les bornes d'un IP. Ceci permet seulement à des hôtes du sous-réseau spécifié pour se connecter au VPN. Pour se connecter au VPN, un ordinateur est sélectionné par un logique ET une exécution. Un ordinateur est sélectionné si l'IP tombe dedans à la même plage exigée. Si vous choisissez cette option, écrivez l'adresse IP et le sous-réseau dans l'adresse IP et le champ de sous-réseau.
Étape 1. Choisissez le type d'identifiant que vous voulez fournir pour le point final de la liste déroulante IP de gens du pays :
• Simple — Ceci limite la stratégie à un hôte. Si vous choisissez cette option, écrivez l'adresse IP dans le domaine d'adresse IP.
• Sous-réseau — C'est un masque qui définit les bornes d'un IP. Ceci permet seulement à des hôtes du sous-réseau spécifié pour se connecter au VPN. Pour se connecter au VPN, un ordinateur est sélectionné par un logique ET une exécution. Un ordinateur est sélectionné si l'IP tombe dedans à la même plage exigée. Si vous choisissez cette option, écrivez l'adresse IP et le sous-réseau dans l'adresse IP et le champ de sous-réseau.
Pour configurer des paramètres manuels de stratégie, choisissez la stratégie manuelle de la liste déroulante de type de stratégie dans l'étape 2 de la section de configuration de règle VPN d'Add/Edit.
Étape 1. Écrivez une valeur hexadécimale entre 3 et 8 dans le domaine SPI-entrant. Stateful Packet Inspection (SPI) est une technologie désignée sous le nom de Deep Packet Inspection. Le SPI implémente un certain nombre de fonctionnalités de sécurité qui aident à maintenir votre réseau informatique sûr. La valeur SPI-entrante est correspondent au SPI-sortant du périphérique précédent. N'importe quelle valeur est acceptable, si le point final du distant VPN a la même valeur dans son domaine SPI-sortant.
Étape 2. Écrivez une valeur hexadécimale entre 3 et 8 dans le domaine SPI-sortant.
Étape 3. Choisissez l'algorithme de chiffrement approprié de la liste déroulante d'algorithme de chiffrement.
• DES — Le Norme de chiffrement de données (DES) utilise une taille de clé 56-bit pour le chiffrement de données. Le DES est périmé et devrait être seulement utilisé si un point final prend en charge seulement le DES.
• 3DES — Le Norme 3DES (Triple Data Encryption Standard) exécute le DES trois fois mais varie la taille de clé de 168 bits à 112 bits et de 112 bits à 56 bits basés sur le rond du DES exécuté. 3DES est plus sécurisé que le DES et l'AES.
• AES-128 — L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide mais moins sécurisé que 3DES, mais quelques types de matériel permettent à 3DES d'être plus rapide. AES-128 est plus rapide mais moins sécurisé qu'AES-192 et AES-256.
• AES-192 — AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisé qu'AES-128, et AES-192 est plus rapide mais moins sécurisé qu'AES-256.
• AES-256 — AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.
Étape 4. Introduisez la clé de chiffrement de la stratégie entrante dans Clé-dans le champ. La longueur de la clé dépend de l'algorithme choisi dans l'étape 3.
Étape 5. Introduisez la clé de chiffrement de la politique sortante dans le domaine de clé-.
Étape 6. Choisissez l'algorithme approprié d'intégrité de la liste déroulante d'algorithme d'intégrité. Cet algorithme vérifiera l'intégrité des données :
• MD5 — Cet algorithme spécifie la longueur principale à 16 caractères. L'algorithme cinq (MD5) de message-digest n'est pas collision résistante et convient aux applications comme les Certificats ou les signatures numériques SSL qui se fondent sur cette propriété. Le MD5 compresse n'importe quel flot d'octet dans une valeur du bit 128, mais le SHA la compresse dans une valeur du bit 160. Le MD5 est légèrement meilleur marché pour calculer, toutefois le MD5 est une version plus ancienne d'algorithme de hachage et est vulnérable aux attaques de collision.
• SHA1 — La version 1 (SHA1) de Secure Hash Algorithm est une fonction d'informations parasites de 160 bits qui est plus sécurisé que le MD5 mais lui prend plus de temps de calculer.
• SHA2-256 — Cet algorithme spécifie la longueur principale à 32 caractères.
Étape 7. Introduisez la clé d'intégrité (pour l'ESP avec l'Intégrité-mode) pour la stratégie entrante. La longueur de la clé dépend de l'algorithme choisi dans l'étape 6.
Étape 8. Introduisez la clé d'intégrité de la politique sortante dans le domaine de clé-. La connexion VPN est installée pour sortant à d'arrivée, donc les clés sortantes de l'un besoin de fin d'apparier les clés d'arrivée de l'autre extrémité.
Remarque: SPI-entrant et sortant, algorithme de chiffrement, algorithme d'intégrité, et clés devez être les mêmes sur l'autre extrémité du tunnel VPN pour une connexion réussie.
Étape 1. Écrivez la durée de l'association de sécurité (SA) en quelques secondes dans le domaine de vie SA. La vie SA est quand n'importe quelle clé a atteint sa vie, n'importe quelle SA associée est automatiquement renégociée.
Étape 2. Choisissez l'algorithme de chiffrement approprié de la liste déroulante d'algorithme de chiffrement :
• DES — Le Norme de chiffrement de données (DES) utilise une taille de clé 56-bit pour le chiffrement de données. Le DES est périmé et devrait être seulement utilisé si un point final prend en charge seulement le DES.
• 3DES — Le Norme 3DES (Triple Data Encryption Standard) exécute le DES trois fois mais varie la taille de clé de 168 bits à 112 bits et de 112 bits à 56 bits basés sur le rond du DES exécuté. 3DES est plus sécurisé que le DES et l'AES.
• AES-128 — L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide mais moins sécurisé que 3DES, mais quelques types de matériel permettent à 3DES d'être plus rapide. AES-128 est plus rapide mais moins sécurisé qu'AES-192 et AES-256.
• AES-192 — AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisé qu'AES-128, et AES-192 est plus rapide mais moins sécurisé qu'AES-256.
• AES-256 — AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.
Étape 3. Choisissez l'algorithme approprié d'intégrité de la liste déroulante d'algorithme d'intégrité. Cet algorithme vérifie l'intégrité des données.
• MD5 — Cet algorithme spécifie la longueur principale à 16 caractères. L'algorithme cinq (MD5) de message-digest n'est pas collision résistante et convient aux applications comme les Certificats ou les signatures numériques SSL qui se fondent sur cette propriété. Le MD5 compresse n'importe quel flot d'octet dans une valeur du bit 128, mais le SHA la compresse dans une valeur du bit 160. Le MD5 est légèrement meilleur marché pour calculer, toutefois le MD5 est une version plus ancienne d'algorithme de hachage et est vulnérable aux attaques de collision.
• SHA1 — La version 1 (SHA1) de Secure Hash Algorithm est une fonction d'informations parasites de 160 bits qui est plus sécurisé que le MD5 mais lui prend plus de temps de calculer.
• SHA2-256 — Cet algorithme spécifie la longueur principale à 32 caractères.
Contrôle (facultatif) d'étape 4. la case d'enable dans le domaine de groupe de touche PF pour activer le perfect forward secrecy, qui est d'améliorer la Sécurité.
Étape 5. Si vous vérifiiez l'enable dans l'étape 4, choisissez le clé-échange approprié de Diffie-Hellman de la liste déroulante de champ de groupe de touche PF.
• Le groupe 1 - le bit 768 — représente la clé la plus de moindre force et le groupe d'authentification le plus non sécurisé. Mais il a besoin de moins d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est basse.
• Le groupe 2 - le bit 1024 — représente une clé plus de haute résistance et plus groupe sécurisé d'authentification. Mais il a besoin d'un certain temps pour calculer les clés d'IKE.
• Le groupe 5 - le bit 1536 — représente la clé la plus de haute résistance et les la plupart sécurisent le groupe d'authentification. Il a besoin de plus d'heure de calculer les clés d'IKE. On le préfère si la vitesse du réseau est élevée.
Étape 6. Choisissez la stratégie IKE appropriée de la liste déroulante choisie de stratégie IKE. L'Échange de clés Internet (IKE) est un protocole utilisé pour établir une connexion sécurisée pour la transmission dans un VPN. Ceci établi, connexion sécurisée s'appelle une association de sécurité (SA). Pour qu'un VPN fonctionne correctement, les stratégies IKE pour les deux points d'extrémité devraient être identiques.
Étape 7. Sauvegarde de clic pour appliquer toutes les configurations.
Remarque: SA - Vie, algorithme de chiffrement, algorithme d'intégrité, groupe de touche PF et la nécessité de stratégie IKE d'être les mêmes sur l'autre extrémité du tunnel VPN pour une connexion réussie.
Si vous voulez visualiser plus d'articles sur le RV110W, a cliquez ici.