目标
本文档的目标是向您展示如何在RV34x系列路由器上使用IKEv2配置IPsec配置文件。
简介
用于RV34x系列路由器的固件版本1.0.02.16现在支持用于站点到站点VPN和客户端到站点VPN的互联网密钥交换版本2(IKEv2)。IKE是一种混合协议,在互联网安全关联和密钥管理协议(ISAKMP)框架内实施Oakley密钥交换和Skeme密钥交换。IKE 可提供 IPSec 对等方验证,协商 IPSec 密钥,以及协商 IPSec 安全关联。
IKEv2仍使用UDP端口500,但需要注意一些更改。失效对等体检测(DPD)的管理方式不同,现已内置。安全关联(SA)协商最小化为4条消息。此新更新还支持可扩展身份验证协议(EAP)身份验证,该身份验证现在能够利用AAA服务器和拒绝服务保护。
下表进一步说明了IKEv1和IKEv2之间的差异
IKEv1 |
IKEv2 |
SA两阶段协商 (主模式与主动模式) |
SA单相协商(简化) |
|
本地/远程证书支持 |
|
改进的冲突处理 |
|
改进的密钥更新机制 |
|
NAT穿越内置 |
|
AAA服务器的EAP支持 |
IPsec可确保您通过Internet进行安全的私有通信。它为通过Internet传输敏感信息提供了两个或多个主机的隐私性、完整性和真实性。IPsec通常用于虚拟专用网络(VPN),并在IP层实施,有助于为许多不安全的应用增加安全性。VPN用于为通过不安全网络(例如Internet)传输的敏感数据和IP信息提供安全通信机制。它还为远程用户和组织提供灵活的解决方案,以保护来自同一网络中其他各方的任何敏感信息。
为了成功加密和建立VPN隧道的两端,两者需要就加密、解密和身份验证的方法达成一致。IPsec配置文件是IPsec中的中心配置,用于在自动模式和手动键控模式下定义I和II协商的加密、身份验证和Diffie-Hellman(DH)组等算法。第I阶段建立预共享密钥以创建安全的经过身份验证的通信。第II阶段是流量加密的阶段。您可以配置大多数IPsec参数,如协议(封装安全负载(ESP))、身份验证报头(AH)、模式(隧道、传输)、算法(加密、完整性、Diffie-Hellman)、完全转发保密(PFS)、SA生命期和密钥管理协议(互联网密钥交换(IKE)- IKEIKEv1和IKEv2)。
有关Cisco IPsec技术的其他信息,请参阅以下链接:Cisco IPSec技术简介。
请注意,在配置站点到站点VPN时,远程路由器需要与本地路由器相同的IPsec配置文件配置。
下面是本地路由器和远程路由器的配置表。在本文档中,我们将使用路由器A配置本地路由器。
字段 |
本地路由器(路由器A) |
远程路由器(路由器B) |
配置文件名称 |
家庭办公室 |
远程办公室 |
键控模式 |
自动 |
自动 |
IKE版本 |
IKEv2 |
IKEv2 |
第I阶段选项 |
第I阶段选项 |
第I阶段选项 |
DH组 |
组2 - 1024位 |
组2 - 1024位 |
加密 |
AES-192 |
AES-192 |
身份验证 |
SHA2-256 |
SHA2-256 |
SA生命期 |
28800 |
28800 |
阶段II选项 |
阶段II选项 |
阶段II选项 |
协议选择 |
ESP |
ESP |
加密 |
AES-192 |
AES-192 |
身份验证 |
SHA2-256 |
SHA2-256 |
SA生命期 |
3600 |
3600 |
完全转发安全性 |
启用 |
启用 |
DH组 |
组2 - 1024位 |
组2 - 1024位 |
要了解如何在RV34x上配置站点到站点VPN,请点击链接:在RV34x上配置站点到站点VPN。
适用设备
·· RV34x
软件版本
·1.0.02.16
使用IKEv2配置IPsec配置文件
步骤1.登录本地路由器(路由器A)的Web配置页面。
步骤2.导航至VPN > IPSec Profiles。
步骤3.在“IPSec配置文件”表中,单击添加以创建新的IPsec配置文件。还有编辑、删除或克隆配置文件的选项。通过克隆配置文件,可以快速复制IPsec配置文件表中已存在的配置文件。如果您需要使用相同的配置创建多个配置文件,克隆将为您节省一些时间。
步骤4.输入配置文件名称并选择键控模式(自动或手动)。 配置文件名称不必与您的其他路由器匹配,但密钥模式需要匹配。
HomeOffice输入为配置文件名称。
为键控模式选择自动。
步骤5.选择IKEv1或IKEv2作为IKE版本。IKE是一种混合协议,在ISAKMP框架内实现Oakley密钥交换和Skeme密钥交换。Oakley和Skeme都定义了如何推导经过身份验证的密钥材料,但Skeme还包括快速密钥更新。IKEv2效率更高,因为它执行密钥交换所需的数据包更少,并且支持更多身份验证选项,而IKEv1仅执行共享密钥和基于证书的身份验证。
在本示例中,IKEv2被选作我们的IKE版本。
注意:如果设备支持IKEv2,则建议使用IKEv2。如果设备不支持IKEv2,则使用IKEv1。
步骤6.第I阶段设置和交换将用于加密第II阶段数据的密钥。在“阶段I”部分,选择DH组。DH是密钥交换协议,它有两组不同的主密钥长度,组2 - 1024位和组5 - 1536位。
组2 - 1024位已为此演示选择。
注意:为了更快速、更低的安全性,请选择组2。为了速度更慢、安全性更高,请选择组5。组2被选为默认值。
步骤7.从下拉列表中选择加密选项(3DS、AES-128、AES-192或AES-256)。此方法确定用于加密和解密ESP/ISAKMP数据包的算法。三重数据加密标准(3DES)使用DES加密三次,但现在已成为传统算法,只应在没有其他替代方案时使用,因为它仍提供可接受的边缘安全级别。用户应仅在需要向后兼容时使用它,因为它容易受到某些“阻止冲突”攻击。高级加密标准(AES)是一种加密算法,旨在比DES更安全。AES使用更大的密钥大小,确保只有入侵者才能尝试所有可能的密钥才能解密消息。如果您的设备可以支持AES,建议使用AES。
在本示例中,我们选择了AES-192作为加密选项。
注意:单击超链接可获取有关使用IPsec或下一代加密配置VPN安全的其他信息。
步骤8.身份验证方法确定如何验证ESP报头数据包。这是身份验证中使用的散列算法,用于验证A端和B端是否真正如他们所说。MD5是一种单向散列算法,生成128位摘要,比SHA1更快。SHA1是一种单向散列算法,生成160位摘要,而SHA2-256生成256位摘要。建议使用SHA2-256,因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1或SHA2-256)。
本例中选择了SHA2-256。
步骤9. SA生命期(秒)告诉您IKE SA在此阶段处于活动状态的时间。当SA在各自的生存期之后过期时,新协商开始。范围为120到86400,默认值为28800。
我们将使用默认值28800秒作为第I阶段的SA生命期。
注意:建议您的SA生命周期在第I阶段比您的第II SA生命期长。如果将第I阶段缩短到第II阶段,则您将不得不频繁重新协商隧道,而不是数据隧道。数据隧道需要更高的安全性,因此最好在第II阶段使寿命短于第I阶段。
步骤10.第II阶段是加密来回传递的数据的位置。在第2阶段选项中,从下拉列表中选择一个协议:
·封装安全负载(ESP) — 为数据加密选择ESP并输入加密。
·身份验证报头(AH) — 在数据不加密(即数据不加密但必须进行身份验证)的情况下,选择此选项以实现数据完整性。它仅用于验证流量的源和目标。
在本例中,我们将使用ESP作为协议选择。
步骤11.从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。此方法确定用于加密和解密ESP/ISAKMP数据包的算法。
在本例中,我们将使用AES-192作为加密选项。
注意:单击超链接可获取有关使用IPsec或下一代加密配置VPN安全的其他信息。
步骤12.身份验证方法确定如何验证封装安全负载协议(ESP)报头数据包。选择身份验证(MD5、SHA1或SHA2-256)。
本例中选择了SHA2-256。
步骤13.输入VPN隧道(IPsec SA)在此阶段处于活动状态的时间量。第2阶段的默认值为3600秒。我们将使用此演示的默认值。
步骤14.选中Enable启用完全向前保密。启用完全转发保密(PFS)后,IKE第2阶段协商将生成用于IPsec流量加密和身份验证的新密钥材料。PFS用于使用公钥加密技术提高通过Internet传输的通信的安全性。如果您的设备可以支持,则建议使用此选项。
步骤15.选择Diffie-Hellman(DH)组。DH是密钥交换协议,它有两组不同的主密钥长度,组2 - 1024位和组5 - 1536位。我们为本演示选择了组2 - 1024位。
注意:要获得更快的速度和更低的安全性,请选择组2。要获得更慢的速度和更高的安全性,请选择组5。默认情况下会选择组2。
步骤16.单击Apply添加新的IPsec配置文件。
步骤17.单击“应用”后,应添加新的IPsec配置文件。
步骤18.在页面顶部,单击“保存”图标导航至“配置管理”,将运行配置保存到启动配置。这是在重新启动后保留配置。
步骤19.在配置管理中,确保源为运行配置,目标为启动配置。然后按Apply将运行配置保存到启动配置。路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。将运行配置文件复制到启动配置文件将保留重新启动后的所有配置。
步骤20.再次执行所有步骤以设置路由器B。
结论
现在,您应该已成功为两台路由器使用IKEv2作为IKE版本创建新的IPsec配置文件。您已准备好配置站点到站点VPN。