配置在RV34x系列路由器的IKEv2

下载选项

PDF (1.7 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.7 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.2 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2019 年 1 月 2 日

文档 ID:1546466190906363

关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

客观

本文目标将显示您如何用在RV34x系列路由器的IKEv2配置IPSec配置文件。

Introduction

RV34x系列路由器的固件版本1.0.02.16现在支持互联网密钥交换版本2 (IKEv2) Site to Site VPN和客户端对站点的VPN。IKE是实现Oakley密匙交换和Skeme密匙交换在互联网安全协会和密钥管理协议(ISAKMP)框架里面的一个混合协议。IKE提供IPSec对等体的认证，协商IPSec密钥，并且协商IPsec安全关联。

IKEv2仍然使用UDP端口500，但是有注释的一些更改。对端死机检测(DPD)不同地管理并且当前内置。安全关联(SA)协商减到最小下来对4个消息。此新的更新也支持当前能有效利用AAA服务器和拒绝服务保护的可扩展的认证协议(EAP)认证。

表下面进一步说明在IKEv1和IKEv2之间的区别

IKEv1	IKEv2
SA二阶段式协商 (主要模式与积极模式)	SA单相协商(简化)
	本地/Remote证书支持
	被改进的冲突处理
	改善键变更机械工
	NAT横越镶入
	AAA服务器的EAP技术支持

IPsec保证您有在互联网的安全的专用通信。它产生两个或多个主机保密性、完整性和真实性传输的敏感信息的在互联网。IPsec是常用的在虚拟专用网络(VPN)并且是被实施的在帮助添加安全到许多不安全的应用程序的IP层。VPN用于为敏感数据和通过不安全的网络被传播例如互联网的IP信息提供安全通信机制。它为异地用户和组织也提供一个灵活的解决方案保护所有敏感信息免受在同一网络的其他当事人。

为了成功被加密的VPN隧道的二末端和设立，他们需要对加密、解密和认证达成协议方法。IPSec配置文件是在定义了算法例如加密、认证和Diffie-Hellman (DH)组阶段的我和II协商在自动模式以及手工的密钥模式的IPsec的中央配置。阶段我设立预共享密钥创建安全的验证的通信。第II阶段是数据流被加密的地方。您能配置大多IPSec参数例如协议(封装安全有效载荷(ESP))认证报头(AH)、模式(隧道，传输)，算法(加密、完整性， Diffie-Hellman)，完整转发安全性(PFS)， SA寿命和密钥管理协议(Internet Key Exchange (IKE) – IKEv1和IKEv2)。

关于Cisco IPSec技术的其他信息可以在此链路找到：Cisco IPSec技术简介。

请注意，当您配置Site to Site VPN时，远程路由器需要IPSec配置文件配置和您的本地路由器一样。

下面配置的表本地路由器和远程路由器的。使用路由器A.，在本文中，我们配置本地路由器。

字段	本地路由器(路由器A)	远程路由器(路由器B)
配置文件名字	HomeOffice	RemoteOffice
锁上模式	自动	自动
IKE版本	IKEv2	IKEv2
阶段我选项	阶段我选项	阶段我选项
DH组	Group2 – 1024位	Group2 – 1024位
加密	AES-192	AES-192
认证	SHA2-256	SHA2-256
SA寿命	28800	28800
第II阶段选项	第II阶段选项	第II阶段选项
协议选择	ESP	ESP
加密	AES-192	AES-192
认证	SHA2-256	SHA2-256
SA寿命	3600	3600
优秀的转发保密性	启用	启用
DH组	Group2 – 1024位	Group2 – 1024位

要了解如何配置在RV34x的Site to Site VPN，请点击链路：配置在RV34x的Site to Site VPN。

可适用的设备

· RV34x

软件版本

· 1.0.02.16

配置IPSec配置文件使用IKEv2

步骤1.您的本地路由器(路由器A) Web配置页的洛金。

步骤2.连接对VPN > IPSec配置文件。

第 3 步：在IPSec配置文件表里，请点击添加创建新的IPSec配置文件。也有编辑，删除或者克隆配置文件的选项。克隆配置文件允许您迅速复制在IPSec配置文件表里已经存在的配置文件。如果需要用相同配置创建多个配置文件，克隆将救您一些时间。

步骤4.输入配置文件名字并且选择密钥模式(自动或手工)。配置文件名字不必须与您的其他路由器配比，但是密钥模式需要配比。

HomeOffice被输入作为配置文件名字。

自动为锁上模式选择。

步骤5.选择IKEv1或IKEv2作为您的IKE版本。IKE是实现Oakley密匙交换和Skeme密匙交换在ISAKMP框架里面的一个混合协议。Oakley和Skeme两个定义了如何派生认证的密码资料，但是Skeme也包括迅速关键茶点。IKEv2效率更高，因为使用较少信息包执行密匙交换，并且支持更多认证选项，而IKEv1只执行共享密钥和认证基于认证。

在本例中， IKEv2选择了作为我们的IKE版本。

Note:如果它然后推荐您的设备支持IKEv2使用IKEv2。如果您的设备不支持然后IKEv2使用IKEv1。

步骤6.我设置并且交换键您使用加密在第II阶段的数据的阶段。在我区分的阶段，选择DH组。DH是一个密钥交换协议，与两个组不同的主关键字长度，第2组–第1024组位和Group5 – 1536位。

第2组–第1024组位为此演示选择了。

Note:对于最高速度和低安全，请选择第2.组。对于更加慢速和更高的安全性，请选择第2组选择作为默认值的第5.组。

步骤7.选择一Encryption选项(3DS、AES-128、AES-192或者AES-256)从下拉列表。此方法确定用于的算法加密和解码ESP/ISAKMP信息包。三重数据加密标准(3DES)用途DES加密三次，但是当前是传统算法，并且应该只使用，当没有其他选择时，因为仍然提供一个少量，但是可接受的安全等级。用户应该只使用它，如果为向后兼容性要求了，因为易受到一些“块冲突”攻击。高级加密标准(AES)是比DES设计安全的加密算法。AES使用保证的更大的密钥大小解码唯一的已知的方法消息是为了入侵者能尝试每个可能的键。如果您的设备可以支持它，推荐使用AES。

在本例中，我们选择了AES-192作为我们的Encryption选项。

Note:点击超链接关于配置VPN的安全的更多信息用IPsec或下一代加密。

第8.步。认证方法确定ESP报头信息包如何被验证。这是用于认证的Hash算法验证端A和旁边B确实是谁他们说他们是。MD5比SHA1是生产一128-bit摘要的一种单向散列函数算法并且快速。SHA1是生产一160-bit摘要的一种单向散列函数算法，当SHA2-256生产一256-bit摘要时。因为更加安全， SHA2-256是推荐的。切记VPN隧道的两端使用同一个认证方法。选择一个认证(MD5、SHA1或者SHA2-256)。

SHA2-256为此示例选择了。