この資料に RV160 および RV260 の VPN のセットアップ ウィザードを設定する方法を示されています。
テクノロジーは展開し、ビジネスは頻繁にオフィスの外で行なわれます。 デバイスはモービルであり、旅すると同時に従業員は頻繁にホームからまたははたらきます。 これによりいくつかのセキュリティーの脆弱性を引き起こす場合があります。 バーチャル プライベート ネットワーク (VPN)はセキュア ネットワークにリモートワーカーを接続する大きい方法です。 VPN は彼らがオンサイト セキュア ネットワークに接続されたようにリモートホストが機能するようにします。
VPN はインターネットのようなより少なくセキュア ネットワーク上の暗号化された接続を確立します。 それは接続された システムにセキュリティの適切なレベルを確保します。 トンネルは送信 される データを保護するのに業界標準暗号化 および 認証技術の使用によってデータを安全に 送信できるプライベート ネットワークとして確立されます。 リモートアクセス VPN は通常インターネット プロトコル セキュリティ(IPsec)またはセキュア ソケット レイヤ(SSL)に接続を保護するために頼ります。
VPN はターゲットネットワークにレイヤ2 アクセスを提供します; これらは基礎 IPSec接続を渡って動作するポイントツーポイント トンネリング プロトコル(PPTP)または Layer 2 Tunneling Protocol (L2TP)のようなトンネリング プロトコルを必要とします。 IPSec VPN はゲートウェイ間トンネルのためのサイト間VPN をサポートします。 たとえば、ユーザは分岐サイトで分岐サイトが安全に 社内ネットワークにアクセスできるように企業のサイトでルータに接続するために VPN トンネルを設定できます。 IPSec VPN はまたホストにゲートウェイ トンネルのためのクライアント ツー サーバ VPN をサポートします。 サーバ VPN へのクライアントはホームからの社内ネットワーク VPN サーバによってに Laptop/PC から接続するとき役立ちます。
RV160 シリーズ ルータは 10 のトンネルをサポートし、RV260 シリーズ ルータは 20 のトンネルをサポートします。 VPN のセットアップ ウィザードはサイト間のIPSec トンネルのための信頼できる接続を設定するときユーザをガイドします。 これは複合体およびオプションパラメータの回避によって設定を簡約化します、従ってどのユーザでもファーストおよび効果的な方法の IPSecトンネルを設定できます。
· RV160
· RV260
· 1.0.0.13
ステップ 1.ローカルルータの Web 設定 ページにログイン して下さい。
注: ルータ B.としてルータ A およびリモートルータとしてローカルルータを参照します。 この資料では、VPN のセットアップ ウィザードを示すのに 2 RV160 を使用します。
ステップ 2.ナビゲートへの VPN > VPN のセットアップ ウィザード。
ステップ 3 使用する前に セクションでは、入力で接続名を接続名 フィールド入力して下さい。 接続名として HomeOffice で入りました。
ステップ 4 インターフェイス フィールドで、RV260 を使用している場合ドロップダウン リストからインターフェイスを選択して下さい。 RV160 は WAN リンク従ってあなたにドロップダウン リストからインターフェイスを選択できないことをもらいますただ。 の隣で進みますリモートルータ設定セクションにクリックして下さい。
ステップ 5.ドロップダウン リストからリモート 接続コネクション タイプを選択して下さい。 静的な IP か FQDN (完全修飾ドメイン ネーム)を選択し、次に Remote address フィールドで接続したいゲートウェイの WAN IP アドレスか FQDN を入力して下さい。 この例では、静的な IP はリモートルータ WAN IP アドレス選択され、(ルータ B)は入りました。 それから次の セクションに移動の隣でクリックして下さい。
ステップ 6 ローカル および リモートネットワーク セクションでは、ローカル トラフィック選択の下で、ドロップダウン リストからローカルIP (サブネット、単一、または)選択して下さい。 『Subnet』 を選択 する場合、サブネット IP アドレスおよびサブネット マスクを入力して下さい。 単一を選択する場合、IP アドレスを入力して下さい。 選択された場合、リモート トラフィック選択を設定することを次のステップに行って下さい。
ステップ 7 リモート トラフィック選択で、ドロップダウン リストからリモートIP (サブネット、単一、または)選択して下さい。 『Subnet』 を選択 する場合、リモートルータ(B)ルータのサブネット IP アドレスおよびサブネット マスクを入力して下さい。 単一を選択する場合、IP アドレスを入力して下さい。 それからの隣で設定しますプロファイル セクションをクリックして下さい。
注: ローカル トラフィック選択に選択する場合場合、リモート トラフィック選択にサブネットを単一選択して下さい。
ステップ 8 プロファイル セクションで、ドロップダウン リストから IPSec プロファイルに名前を選択して下さい。 このデモに関しては、新プロファイルは IPSec プロファイルとして選択されました。
ステップ 9. IKEv1 (Internet Key Exchange(IKE) 1)バージョンまたは IKEv2 (Internet Key Exchange(IKE) IKE バージョンとして 2)バージョンを選択して下さい。 IKE は Internet Security Association and Key Management Protocol(ISAKMP) フレームワークの中の Oakley 鍵交換および Skeme 鍵交換を設定するハイブリッド プロトコルです。 IKE は IPSec ピアの認証を提供し、IPSecキーをネゴシエートし、IPSecセキュリティアソシエーション結合をネゴシエートします。 IKEv2 は IKEv1 は共有鍵および証明書によって基づく認証だけをするが鍵交換をするためにより少ないパケットを必要とし、より多くの認証オプションをサポートするので効率的です。 この例では、IKEv1 は IKE バージョンとして選択されました。
注: IKEv2 を使用するためにデバイスサポート IKEv2 がそれからそれ推奨されれば。 デバイスがサポートしなければ IKEv2 は IKEv1 を使用します。 ルータは両方とも(ローカルおよび遠隔)同じ IKE バージョンおよびセキュリティ設定を使用する必要があります。
ステップ 10: フェーズ 1 ではオプションはドロップダウン リストから a (デフィーヘルマン)グループを(グループ 2 – 1024 ビットはまたは 5 グループ化します- 1536 ビットを) DH(Diffie-Hellman)区分しましたり、選択します。 異なる主な変調長さの 2 グループとの鍵交換プロトコルは、DH(Diffie-Hellman)あります: グループ 2 に 1,024 ビットまであり、グループ 5 に 1,536 ビットまであります。 グループ 2 –このデモのための 1024 をビット使用します。
注: 最高速度および下部の セキュリティに関しては、2.を『Group』 を選択 して下さい。 低速および高い安全性に関しては、5.グループ 2 をデフォルトで選択されます『Group』 を選択 して下さい。
ステップ 11.ドロップダウン リストから Encryption オプション(トリプル DES、AES-128、AES-192、または AES-256)を選択して下さい。 この方式は Encapsulating Security Payload(ESP) /Internet セキュリティ結合およびキー管理プロトコル(ISAKMP)パケットを暗号化するか、または復号化するのに使用されるアルゴリズムを判別します。 このとき Triple Data Encryption Standard(3DES) 使用 DES 暗号化は 3 回しかしレガシー アルゴリズムです。 これはまだ最底限受諾可能なセキュリティレベルを提供するのでよりよい代替がないときしか使用しない必要があることを意味します。 ユーザはいくつかの「ブロック衝突」不正侵入に脆弱であるので下位互換性のために必要となった場合だけそれを使用する必要があります。 高度暗号化規格(AES)は DES よりセキュアのように設計されている暗号化アルゴリズムです。 AES はメッセージを復号化する唯一の既知アプローチは各可能性のある キーを試みる侵入者のためであるようにするより大きいキーサイズを使用します。 トリプル DES の代りに AES を使用するために推奨します。 この例では、Encryption オプションとして AES-192 を使用します。
注: 助けるかもしれないいくつかの追加情報はここにあります: IPSec および次世代 暗号化で VPN のためのセキュリティを設定する場合。
ステップ 12: 認証方式は Encapsulating Security Payload(ESP) プロトコル(ESP)ヘッダ パケットがどのように検証されるか判別します。 MD5 は 128 ビット ダイジェストを生成 する一方向ハッシュアルゴリズムです。 SHA1 は SHA2-256 が 256 ビット ダイジェストを生成 する間、160 ビット ダイジェストを生成 する一方向ハッシュアルゴリズムです。 SHA2-256 はセキュアであるので推奨されます。 VPN トンネルの両端が同じ認証方式を使用することを確かめて下さい。 認証(MD5、SHA1、または SHA2-256)を選択して下さい。 SHA2-256 はこの例に選択されました。
ステップ 13: 時間数が、秒に、IKE SA このフェーズにアクティブであることを SA ライフタイム(秒)は告げます。 新しい Security Association (SA)は古い 1 つが切れるとき新しい SA は使用されて準備ができていることを確認するためにライフタイムが切れる前にネゴシエートされます。 デフォルトは 28800 であり、範囲は 120 から 86400 からです。 フェーズ I.の間 SA ライフタイムとして 28800 秒のデフォルト値を使用します。
注: フェーズ I の SA ライフタイムがフェーズ II SA ライフタイムより長いことを推奨します。 フェーズ I をフェーズ II より短くさせる場合、データ トンネルに対してトンネルを頻繁にあちこちに再取り決めしなければなりません。 データ トンネルはより多くのセキュリティを必要とする従ってフェーズ I.より短いフェーズ II のライフタイムを持っていることがより適切であるものがです。
ステップ 14: リモート IKE ピアを認証するのに使用するために事前共有キーで入力して下さい。 My_@123 または 4d795f40313233 のような 30 までのキーボード文字か 16進値を、入力することができます。 VPN トンネルの両端は同じ事前共有キーを使用する必要があります。
注: VPN セキュリティを最大化するために事前共有キーを定期的に変更することを推奨します。
ステップ 15: フェーズ II オプションではドロップダウン リストからプロトコルを区分して下さい、選択して下さい。
· ESP – ESP をデータ暗号化に選択し、暗号化を入力して下さい。
· AH –これをデータが秘密ではない選択して下さいしかし認証されなければなりません状況のデータ統合に。
ステップ 16: ドロップダウン リストから Encryption オプション(トリプル DES、AES-128、AES-192、または AES-256)を選択して下さい。 この方式は Encapsulating Security Payload(ESP) /Internet セキュリティ結合およびキー管理プロトコル(ISAKMP)パケットを暗号化するか、または復号化するのに使用されるアルゴリズムを判別します。 このとき Triple Data Encryption Standard(3DES) 使用 DES 暗号化は 3 回しかしレガシー アルゴリズムです。 これはまだ最底限受諾可能なセキュリティレベルを提供するのでよりよい代替がないときしか使用しない必要があることを意味します。 ユーザはいくつかの「ブロック衝突」不正侵入に脆弱であるので下位互換性のために必要となった場合だけそれを使用する必要があります。 高度暗号化規格(AES)は DES よりセキュアのように設計されている暗号化アルゴリズムです。 AES はメッセージを復号化する唯一の既知アプローチは各可能性のある キーを試みる侵入者のためであるようにするより大きいキーサイズを使用します。 トリプル DES の代りに AES を使用するために推奨します。 この例では、Encryption オプションとして AES-192 を使用します。
注: 助けるかもしれないいくつかの追加情報はここにあります: IPSec および次世代 暗号化で VPN のためのセキュリティを設定する場合。
ステップ 17: 認証方式は Encapsulating Security Payload(ESP) プロトコル(ESP)ヘッダ パケットがどのように検証されるか判別します。 MD5 は 128 ビット ダイジェストを生成 する一方向ハッシュアルゴリズムです。 SHA1 は SHA2-256 が 256 ビット ダイジェストを生成 する間、160 ビット ダイジェストを生成 する一方向ハッシュアルゴリズムです。 SHA2-256 はセキュアであるので推奨されます。 VPN トンネルの両端が同じ認証方式を使用することを確かめて下さい。 認証(MD5、SHA1、または SHA2-256)を選択して下さい。 SHA2-256 はこの例に選択されました。
ステップ 18: 時間数、VPN トンネル(IPsec SA)がこのフェーズにアクティブである、秒にである SA 一生(秒)の間に入力して下さい。 フェーズ 2 のデフォルト値は 3600 秒です。
ステップ 19: 完全転送秘密 (PFS)が有効に なるとき、IKE フェーズ 2 ネゴシエーションは IPSecトラフィック 暗号化および認証のための New 鍵材料を生成します。 完全転送秘密が公開キー暗号化を使用してインターネットを渡って送信される通信のセキュリティを向上するのに使用されています。 この機能を有効に するためにボックスをチェックするかまたはこの機能を無効に するためにボックスをチェックを外して下さい。 この機能は推奨されます。 チェックされた場合、グループを DH(Diffie-Hellman)選択して下さい。 この例 Group2 – 1024 ビットは使用されます。
ステップ 20: 新しいプロファイルとして保存では、ちょうど作成した新しいプロファイルの名前を入力して下さい。 の隣で見ます VPN 設定の要約をクリックして下さい。
ステップ 21: 情報を確認し、次に『SUBMIT』 をクリック して下さい。
リモートルータで、同じセキュリティ設定をローカルルータと行うことをリモート トラフィックとしてローカルルータ IP アドレスを使用する必要があります。
ステップ 1.リモートルータの Web 設定 ページにログイン して下さい(ルータ B)はに VPN > VPN のセットアップ ウィザード ナビゲート し。
ステップ 2.接続名を入力し、RV260 を使用している場合 VPN のために使用するインターフェイスを選択して下さい。 RV160 は WAN リンク従ってあなたにドロップダウンからインターフェイスを選択できないことをもらいますただ。 [Next] をクリックして続行します。
ステップ 3 リモートルータ設定で、リモート 接続コネクション タイプを選択し、次にルータ A.の WAN IP アドレスを入力して下さい。 それからの隣で続きます次の セクションにクリックして下さい。
ステップ 4.ローカルおよびリモート トラフィックを選択して下さい。 リモート トラフィック選択フィールドで『Subnet』 を選択 する場合、プライベート IP アドレス ルータのサブネット A.で入力して下さい。 それからの隣で設定しますプロファイル セクションをクリックして下さい。
ステップ 5 プロファイル セクションで、ルータ A.と同じセキュリティ設定を選択して下さい。 またルータ A.と同じ事前共有キーを入力しました。 それから要約 ページに行くために『Next』 をクリック して下さい。
I オプションを段階的に行なって下さい:
フェーズ II オプション:
ステップ 6 要約 ページでは、ちょうど設定した情報が正しいことを確認して下さい。 それからサイト間VPN を作成するために『SUBMIT』 をクリック して下さい。
注: 揮発の、リブートの間で保たれないルータが現在使用していることすべてのコンフィギュレーションは実行コンフィギュレーション ファイルにあります。 変更をすべて完了した後リブート間の設定を保つために、スタートアップ コンフィギュレーション コンフィギュレーション・ファイルにコピー実行コンフィギュレーション ファイル確かめて下さい。 これをするため、Administration > 設定管理にページまたはナビゲートの上で現われる SAVE ボタンをクリックするため。 それから出典が実行コンフィギュレーションであり、宛先がスタートアップ コンフィギュレーションであることを、確かめて下さい。 [Apply] をクリックします。
VPN のセットアップ ウィザードを使用してうまくサイト間VPN を設定する必要があります。 サイト間VPN が接続されることを確認するために下記のステップに従って下さい。
ステップ 1: に VPN > IPSec VPN > サイト間 ナビゲート するとき接続が確立されたことを確認するために、接続されたステータスを見るはずです。
ステップ 2.サイトツーサイト トンネルが有効に なる確かめ、活動化しますことをステータスおよび統計情報へのナビゲート > VPN ステータスはおよび。