Paramètres de la stratégie d'Échange de clés Internet (IKE) sur des routeurs VPN RV130 et RV130W
Objectif
L'Échange de clés Internet (IKE) est un protocole qui établit la communication protégée entre deux réseaux. Avec l'IKE, des paquets sont chiffrés et verrouillés et déverrouillés avec des clés utilisées par deux interlocuteurs.
Vous devez créer une stratégie d'échange de clés Internet (IKE) avant de configurer une règle VPN. Référez-vous à la configuration de règle VPN sur le pour en savoir plus RV130 et RV130W.
L'objectif de ce document est de t'afficher comment ajouter un profil d'IKE aux routeurs VPN RV130 et RV130W.
Périphériques applicables
• RV130
• RV130W
Étapes de procédure
Étape 1. Employez l'utilitaire de configuration de routeur pour choisir VPN > site à site IPSec VPN > a avancé le VPN installé du menu du côté gauche. La page avancée d'installation VPN paraît :
Étape 2. Sous le Tableau de stratégie IKE, cliquez sur Add la ligne. Une nouvelle fenêtre apparaît :
Étape 3. Écrivez un nom pour la stratégie IKE dans la zone d'identification d'IKE.
Étape 4. Du menu déroulant de mode d'échange, choisissez le mode dans lequel un échange clé est utilisé pour établir la communication protégée.
Les options disponibles sont définies comme suit :
• Principal — Protège l'identité des pairs pour la Sécurité accrue.
• Agressif — Aucune protection d'identité de pair mais ne fournit une connexion plus rapide.
Étape 5. Du menu déroulant local de type d'identifiant, choisissez le type d'identité que le profil a.
Les options disponibles sont définies comme suit :
• IP de WAN local (Internet) — Se connecte par l'Internet.
• Adresse IP — La seule suite de nombres a séparé par des périodes qui identifie chaque ordinateur utilisant l'Internet Protocol pour communiquer au-dessus d'un réseau.
Étape 6. (facultative) si l'adresse IP est sélectionnée de la liste déroulante dans l'étape 5, entrent dans l'adresse IP locale dans le champ d'identification local.
Étape 7. Du menu déroulant distant de type d'identifiant, choisissez le type d'identité que le profil a.
Les options disponibles sont définies comme suit :
• IP de WAN local (Internet) — Se connecte par l'Internet.
• Adresse IP — La seule suite de nombres a séparé par des périodes qui identifie chaque ordinateur utilisant l'Internet Protocol pour communiquer au-dessus d'un réseau.
Étape 8. (facultative) si l'adresse IP est sélectionnée de la liste déroulante dans l'étape 7, écrivent l'adresse IP distante dans le champ d'identification distant.
Étape 9. Du menu déroulant d'algorithme de chiffrement, choisissez un algorithme pour chiffrer vos transmissions. AES-128 est choisi en tant que par défaut.
Les options disponibles sont répertoriées comme suit de mineurs à la plus grande Sécurité :
• DES — Norme de chiffrement de données.
• 3DES — Norme de chiffrement de données triple.
• AES-128 — L'Advanced Encryption Standard utilise une clé de 128 bits.
• AES-192 — L'Advanced Encryption Standard utilise une clé de 192 bits.
• AES-256 — L'Advanced Encryption Standard utilise une clé de 256 bits.
Remarque: AES est la méthode standard de cryptage au-dessus de DES et de 3DES pour ses plus grandes performances et sécurité. Le rallongement de la clé AES augmentera la Sécurité avec une baisse dans la représentation. AES-128 est recommandé pendant qu'il fournit le bon compromis entre la vitesse et la Sécurité.
Étape 10. Du menu déroulant d'algorithme d'authentification, choisissez un algorithme pour authentifier vos transmissions. SHA-1 est choisi en tant que par défaut.
Les options disponibles sont définies comme suit :
• MD5 — L'algorithme de condensé de message a une valeur de hachage de 128 bits.
• SHA-1 — Le Secure Hash Algorithm a une valeur de hachage de 160 bits.
• SHA2-256 — Secure Hash Algorithm avec une valeur de hachage de 256 bits.
Remarque: Le MD5 et le SHA sont les deux fonctions d'informations parasites cryptographiques. Ils prennent une partie de données, la rendent compacte, et créent un seul résultat hexadécimal qui n'est typiquement pas reproductible. Le MD5 ne fournit essentiellement aucune Sécurité contre des collisions de hachage et devrait seulement être utilisé dans une petite configuration d'environnement professionnel où la collision-résistance n'est pas nécessaire. SHA1 est un meilleur choix que le MD5 parce qu'il offre une meilleure Sécurité à des vitesses négligeablement plus réduites. Pour les meilleurs résultats, SHA2-256 n'a aucune attaque connue d'importance pratique et offrira la meilleure Sécurité. Comme indiqué précédemment, une Sécurité plus élevée signifie des vitesses plus réduites.
Étape 11. Dans la zone de tri pré-partagée, entrez un mot de passe qui est entre 8 et 49 caractères de longueur.
Étape 12. Du menu déroulant de groupe CAD, choisissez un groupe CAD. Le nombre de bits indique le niveau de sécurité. Les deux extrémités de la connexion doivent être dans le même groupe.
Étape 13. Dans le domaine de SA-vie, entrez dans combien de temps l'association de sécurité sera valide en quelques secondes. Le par défaut est de 28800 secondes.
Étape 14. (Facultatif) cochez la case d'enable dans le domaine de Dead Peer Detection si vous voulez désactiver une connexion avec le pair inactif. Ignorez à l'étape 17 si vous n'activiez pas la détection morte de pair.
Étape 15. (Facultatif) si vous activiez Dead Peer Detection, écrivez une valeur dans le domaine de retard DPD. Cette valeur spécifiera combien de temps le routeur attendra de vérifier la Connectivité de client.
Étape 16. (Facultatif) si vous activiez Dead Peer Detection, écrivez une valeur dans le domaine de délai d'attente DPD. Cette valeur spécifiera combien de temps le client restera connecté jusqu'à ce qu'elle soit chronométrée.
Étape 17. Sauvegarde de clic pour sauvegarder des modifications.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)