Ajustes da política do Internet Key Exchange (IKE) no Roteadores RV130 e RV130W VPN

Objetivo

O Internet Key Exchange (IKE) é um protocolo que estabeleça uma comunicação segura entre duas redes. Com IKE, os pacotes são cifrados e travados e destravados com as chaves usadas por dois partidos.

Você precisa de criar uma política de intercâmbio de chave de Internet antes de configurar uma política de VPN. Refira a configuração da política de VPN em RV130 e em RV130W para mais informação.

O objetivo deste documento é mostrar-lhe como adicionar um perfil IKE ao Roteadores RV130 e RV130W VPN.

Dispositivos aplicáveis

• RV130
• RV130W

Etapas do procedimento

Etapa1. Use a utilidade de configuração de roteador para escolher VPN > IPSec local a local VPN > avançou a instalação VPN do menu à esquerda. A página avançada da instalação VPN publica-se:

Etapa 2. Sob a tabela da política de IKE, o clique adiciona a fileira. Uma nova janela aparece:

Etapa 3. Dê entrada com um nome para a política de IKE no campo de nome IKE.

Etapa 4. Do menu suspenso do modo da troca, escolha o modo em que umas trocas de chave são usadas para estabelecer uma comunicação segura.

As opções disponíveis são definidas como segue:

• Principal — Protege a identidade dos pares para a segurança aumentada.

• Agressivo — Nenhuma proteção da identidade do par mas fornece uma conexão mais rápida.

Etapa 5. Do identificador local datilografe o menu suspenso, escolhem o tipo de identidade que o perfil tem.

As opções disponíveis são definidas como segue:

• IP local de WAN (Internet) — Conecta através do Internet.

• Endereço IP de Um ou Mais Servidores Cisco ICM NT — A série exclusiva de números separou em períodos que identifica cada máquina usando o protocolo de internet para se comunicar sobre uma rede.

Etapa 6. (opcional) se o endereço IP de Um ou Mais Servidores Cisco ICM NT é selecionado da lista de drop-down na etapa 5, incorpora o endereço IP local ao campo local do identificador.

Passo 7. Do identificador remoto datilografe o menu suspenso, escolhem o tipo de identidade que o perfil tem.

As opções disponíveis são definidas como segue:

• IP local de WAN (Internet) — Conecta através do Internet.

• Endereço IP de Um ou Mais Servidores Cisco ICM NT — A série exclusiva de números separou em períodos que identifica cada máquina usando o protocolo de internet para se comunicar sobre uma rede.

Etapa 8. (opcional) se o endereço IP de Um ou Mais Servidores Cisco ICM NT é selecionado da lista de drop-down na etapa 7, incorpora o endereço IP remoto ao campo remoto do identificador.

Etapa 9. Do menu suspenso do algoritmo de criptografia, escolha um algoritmo cifrar suas comunicações. O AES-128 é escolhido como o padrão.

As opções disponíveis são alistadas como segue de menos à grande Segurança:

• DES — Criptografia padrão de dados.

• 3DES — Triple Data Encryption Standard.

• AES-128 — O Advanced Encryption Standard usa uma chave do bit 128.

• AES-192 — O Advanced Encryption Standard usa uma chave de 192 bit.

• AES-256 — O Advanced Encryption Standard usa uma chave do bit 256.

Nota: O AES é o método padrão da criptografia sobre o DES e o 3DES para seus maiores desempenho e Segurança. Alongar a chave AES aumentará a Segurança com uma gota no desempenho. O AES-128 é recomendado enquanto fornece o melhor acordo entre a velocidade e a Segurança.

Etapa 10. Do menu suspenso do algoritmo de autenticação, escolha um algoritmo autenticar suas comunicações. O SHA-1 é escolhido como o padrão.

As opções disponíveis são definidas como segue:

• MD5 — O algoritmo de message digest tem um valor de hash do bit 128.

• SHA-1 — O algoritmo de mistura segura tem um valor de hash de 160 bit.

• SHA2-256 — Algoritmo de mistura segura com um valor de hash do bit 256.

Nota: O MD5 e o SHA são ambas as funções de mistura criptograficamente. Tomam uma parte de dados, comprimem-na, e criam-nos uma saída hexadecimal original que não seja tipicamente reprodutível. O MD5 não fornece essencialmente nenhuma Segurança contra colisões do hashing e deve somente ser usado em uma configuração de ambiente da empresa de pequeno porte onde a colisão-resistência não seja precisada. O SHA1 é uma escolha melhor do que o MD5 porque oferece a melhor Segurança em umas velocidades insignificantemente mais lentas. Para os melhores resultados, SHA2-256 não tem nenhum ataque conhecido da importância prática e oferecerá a melhor Segurança. Como mencionado antes, a segurança mais elevada significa umas velocidades mais lentas.

Etapa 11. No campo de chave pré-compartilhada, incorpore uma senha que esteja entre 8 e 49 caráteres de comprimento.

Etapa 12. Do menu suspenso do grupo DH, escolha um grupo DH. O número de bit indica o nível de segurança. O ambas as extremidades da conexão deve estar no mesmo grupo.

Etapa 13. No campo da SA-vida, entre em quanto tempo a associação de segurança será válida nos segundos. O padrão é 28800 segundos.

Etapa 14. (Opcional) verifique a caixa de verificação da possibilidade no campo do Dead Peer Detection se você quer desabilitar uma conexão com o par inativo. Salte a etapa 17 se você não permitiu o Dead Peer Detection.

Etapa 15. (Opcional) se você permitiu o Dead Peer Detection, incorpore um valor ao campo do atraso DPD. Este valor especificará quanto tempo o roteador esperará para verificar para ver se há a conectividade de cliente.

Etapa 16. (Opcional) se você permitiu o Dead Peer Detection, incorpore um valor ao campo do intervalo DPD. Este valor especificará quanto tempo o cliente ficará conectado até que esteja cronometrado para fora.

Etapa 17. Salvaguarda do clique para salvar mudanças.