Para parceiros
O Internet Key Exchange (IKE) é um protocolo que estabelece a comunicação segura entre duas redes. Com o IKE, os pacotes são criptografados e bloqueados e desbloqueados com chaves usadas por duas partes.
Você precisa criar uma política de Internet Key Exchange antes de configurar uma política de VPN. Consulte Configuração de Política de VPN em RV130 e RV130W para obter mais informações.
O objetivo deste documento é mostrar como adicionar um perfil IKE aos roteadores VPN RV130 e RV130W.
RV130
RV130W
Etapa 1. Use o Utilitário de configuração do roteador para escolher VPN > VPN IPSec site a site > Advanced VPN Setup no menu à esquerda. A página Advanced VPN Setup é exibida:
Etapa 2. Na Tabela de políticas IKE, clique em Adicionar linha. Uma nova janela é exibida:
Etapa 3. Digite um nome para a política IKE no campo Nome IKE.
Etapa 4. No menu suspenso Exchange Mode, escolha o modo em que uma troca de teclas é usada para estabelecer uma comunicação segura.
As opções disponíveis são definidas da seguinte forma:
Main — Protege a identidade dos colegas para aumentar a segurança.
Agressivo — Sem proteção da identidade do peer, mas fornece uma conexão mais rápida.
Etapa 5. No menu suspenso Tipo de Identificador Local, escolha o tipo de identidade do perfil.
As opções disponíveis são definidas da seguinte forma:
Local WAN (Internet) IP — Conecta-se através da Internet.
Endereço IP — Sequência exclusiva de números separados por pontos que identifica cada máquina usando o Internet Protocol para se comunicar em uma rede.
Etapa 6. (Opcional) Se IP Address for selecionado na lista suspensa na etapa 5, insira o endereço IP local no campo Local Identifier.
Passo 7. No menu suspenso Tipo de identificador remoto, escolha o tipo de identidade do perfil.
As opções disponíveis são definidas da seguinte forma:
Local WAN (Internet) IP — Conecta-se através da Internet.
Endereço IP — Sequência exclusiva de números separados por pontos que identifica cada máquina usando o Internet Protocol para se comunicar em uma rede.
Etapa 8. (Opcional) Se Endereço IP for selecionado na lista suspensa na Etapa 7, insira o endereço IP remoto no campo Identificador remoto.
Etapa 9. No menu suspenso Encryption Algorithm, escolha um algoritmo para criptografar suas comunicações. AES-128 é escolhido como padrão.
As opções disponíveis são listadas da seguinte maneira, do menor para o maior nível de segurança:
DES — Data Encryption Standard (Padrão de Criptografia de Dados).
3DES — Triple Data Encryption Standard (Padrão de Criptografia de Dados Triplo).
AES-128 — O Advanced Encryption Standard usa uma chave de 128 bits.
AES-192 — O Advanced Encryption Standard usa uma chave de 192 bits.
AES-256 — O Advanced Encryption Standard usa uma chave de 256 bits.
Note: O AES é o método padrão de criptografia sobre DES e 3DES por seu maior desempenho e segurança. O aumento da chave AES aumentará a segurança com uma queda no desempenho. O AES-128 é recomendado, pois oferece o melhor comprometimento entre velocidade e segurança.
Etapa 10. No menu suspenso Authentication Algorithm, escolha um algoritmo para autenticar suas comunicações. SHA-1 é escolhido como padrão.
As opções disponíveis são definidas da seguinte forma:
MD5 — O algoritmo de resumo de mensagem tem um valor de hash de 128 bits.
SHA-1 — O Algoritmo Hash Seguro tem um valor hash de 160 bits.
SHA2-256 — Algoritmo Hash Seguro com um valor hash de 256 bits.
Note: MD5 e SHA são funções de hash criptográfico. Eles pegam um pedaço de dados, compactam-no e criam uma saída hexadecimal exclusiva que normalmente não é reproduzível. O MD5 basicamente não oferece segurança contra colisões de hash e deve ser usado apenas em uma configuração de ambiente de pequenas empresas onde a resistência a colisões não é necessária. SHA1 é uma escolha melhor do que o MD5 porque oferece melhor segurança a velocidades insignificantemente mais lentas. Para obter melhores resultados, o SHA2-256 não tem ataques conhecidos de relevância prática e oferecerá a melhor segurança. Como mencionado anteriormente, segurança mais alta significa velocidades mais lentas.
Etapa 11. No campo Pre-Shared Key, insira uma senha com 8 a 49 caracteres.
Etapa 12. No menu suspenso Grupo DH, escolha um grupo DH. O número de bits indica o nível de segurança. As duas extremidades da conexão devem estar no mesmo grupo.
Etapa 13. No campo SA-Lifetime, insira por quanto tempo a associação de segurança será válida em segundos. O padrão é 28800 segundos.
Etapa 14. (Opcional) Marque a caixa de seleção Habilitar no campo Dead Peer Detection se desejar desabilitar uma conexão com o peer inativo. Vá para a etapa 17 se você não habilitou a Detecção de peer inativo.
Etapa 15. (Opcional) Se você habilitou a Dead Peer Detection, insira um valor no campo DPD Delay. Esse valor especificará por quanto tempo o roteador aguardará para verificar a conectividade do cliente.
Etapa 16. (Opcional) Se você habilitou a Dead Peer Detection, insira um valor no campo DPD Timeout. Esse valor especificará por quanto tempo o cliente permanecerá conectado até que o tempo limite seja excedido.
Etapa 17. Clique em Salvar para salvar as alterações.