客观
本文目标将显示您如何用在RV34x系列路由器的IKEv2配置IPSec配置文件。
Introduction
RV34x系列路由器的固件版本1.0.02.16现在支持互联网密钥交换版本2 (IKEv2) Site to Site VPN和客户端对站点的VPN。IKE是实现Oakley密匙交换和Skeme密匙交换在互联网安全协会和密钥管理协议(ISAKMP)框架里面的一个混合协议。IKE提供IPSec对等体的认证,协商IPSec密钥,并且协商IPsec安全关联。
IKEv2仍然使用UDP端口500,但是有注释的一些更改。对端死机检测(DPD)不同地管理并且当前内置。安全关联(SA)协商减到最小下来对4个消息。此新的更新也支持当前能有效利用AAA服务器和拒绝服务保护的可扩展的认证协议(EAP)认证。
表下面进一步说明在IKEv1和IKEv2之间的区别
IKEv1 |
IKEv2 |
SA二阶段式协商 (主要模式与积极模式) |
SA单相协商(简化) |
|
本地/Remote证书支持 |
|
被改进的冲突处理 |
|
改善键变更机械工 |
|
NAT横越镶入 |
|
AAA服务器的EAP技术支持 |
IPsec保证您有在互联网的安全的专用通信。它产生两个或多个主机保密性、完整性和真实性传输的敏感信息的在互联网。IPsec是常用的在虚拟专用网络(VPN)并且是被实施的在帮助添加安全到许多不安全的应用程序的IP层。VPN用于为敏感数据和通过不安全的网络被传播例如互联网的IP信息提供安全通信机制。它为异地用户和组织也提供一个灵活的解决方案保护所有敏感信息免受在同一网络的其他当事人。
为了成功被加密的VPN隧道的二末端和设立,他们需要对加密、解密和认证达成协议方法。IPSec配置文件是在定义了算法例如加密、认证和Diffie-Hellman (DH)组阶段的我和II协商在自动模式以及手工的密钥模式的IPsec的中央配置。阶段我设立预共享密钥创建安全的验证的通信。第II阶段是数据流被加密的地方。您能配置大多IPSec参数例如协议(封装安全有效载荷(ESP))认证报头(AH)、模式(隧道,传输),算法(加密、完整性, Diffie-Hellman),完整转发安全性(PFS), SA寿命和密钥管理协议(Internet Key Exchange (IKE) – IKEv1和IKEv2)。
关于Cisco IPSec技术的其他信息可以在此链路找到:Cisco IPSec技术简介。
请注意,当您配置Site to Site VPN时,远程路由器需要IPSec配置文件配置和您的本地路由器一样。
下面配置的表本地路由器和远程路由器的。使用路由器A.,在本文中,我们配置本地路由器。
字段 |
本地路由器(路由器A) |
远程路由器(路由器B) |
配置文件名字 |
HomeOffice |
RemoteOffice |
锁上模式 |
自动 |
自动 |
IKE版本 |
IKEv2 |
IKEv2 |
阶段我选项 |
阶段我选项 |
阶段我选项 |
DH组 |
Group2 – 1024位 |
Group2 – 1024位 |
加密 |
AES-192 |
AES-192 |
认证 |
SHA2-256 |
SHA2-256 |
SA寿命 |
28800 |
28800 |
第II阶段选项 |
第II阶段选项 |
第II阶段选项 |
协议选择 |
ESP |
ESP |
加密 |
AES-192 |
AES-192 |
认证 |
SHA2-256 |
SHA2-256 |
SA寿命 |
3600 |
3600 |
优秀的转发保密性 |
启用 |
启用 |
DH组 |
Group2 – 1024位 |
Group2 – 1024位 |
要了解如何配置在RV34x的Site to Site VPN,请点击链路:配置在RV34x的Site to Site VPN。
可适用的设备
· RV34x
软件版本
· 1.0.02.16
配置IPSec配置文件使用IKEv2
步骤1.您的本地路由器(路由器A) Web配置页的洛金。
步骤2.连接对VPN > IPSec配置文件。
第 3 步:在IPSec配置文件表里,请点击添加创建新的IPSec配置文件。也有编辑,删除或者克隆配置文件的选项。克隆配置文件允许您迅速复制在IPSec配置文件表里已经存在的配置文件。如果需要用相同配置创建多个配置文件,克隆将救您一些时间。
步骤4.输入配置文件名字并且选择密钥模式(自动或手工)。配置文件名字不必须与您的其他路由器配比,但是密钥模式需要配比。
HomeOffice被输入作为配置文件名字。
自动为锁上模式选择。
步骤5.选择IKEv1或IKEv2作为您的IKE版本。IKE是实现Oakley密匙交换和Skeme密匙交换在ISAKMP框架里面的一个混合协议。Oakley和Skeme两个定义了如何派生认证的密码资料,但是Skeme也包括迅速关键茶点。IKEv2效率更高,因为使用较少信息包执行密匙交换,并且支持更多认证选项,而IKEv1只执行共享密钥和认证基于认证。
在本例中, IKEv2选择了作为我们的IKE版本。
Note:如果它然后推荐您的设备支持IKEv2使用IKEv2。如果您的设备不支持然后IKEv2使用IKEv1。
步骤6.我设置并且交换键您使用加密在第II阶段的数据的阶段。在我区分的阶段,选择DH组。DH是一个密钥交换协议,与两个组不同的主关键字长度,第2组–第1024组位和Group5 – 1536位。
第2组–第1024组位为此演示选择了。
Note:对于最高速度和低安全,请选择第2.组。对于更加慢速和更高的安全性,请选择第2组选择作为默认值的第5.组。
步骤7.选择一Encryption选项(3DS、AES-128、AES-192或者AES-256)从下拉列表。此方法确定用于的算法加密和解码ESP/ISAKMP信息包。三重数据加密标准(3DES)用途DES加密三次,但是当前是传统算法,并且应该只使用,当没有其他选择时,因为仍然提供一个少量,但是可接受的安全等级。用户应该只使用它,如果为向后兼容性要求了,因为易受到一些“块冲突”攻击。高级加密标准(AES)是比DES设计安全的加密算法。AES使用保证的更大的密钥大小解码唯一的已知的方法消息是为了入侵者能尝试每个可能的键。如果您的设备可以支持它,推荐使用AES。
在本例中,我们选择了AES-192作为我们的Encryption选项。
Note:点击超链接关于配置VPN的安全的更多信息用IPsec或下一代加密。
第8.步。认证方法确定ESP报头信息包如何被验证。这是用于认证的Hash算法验证端A和旁边B确实是谁他们说他们是。MD5比SHA1是生产一128-bit摘要的一种单向散列函数算法并且快速。SHA1是生产一160-bit摘要的一种单向散列函数算法,当SHA2-256生产一256-bit摘要时。因为更加安全, SHA2-256是推荐的。切记VPN隧道的两端使用同一个认证方法。选择一个认证(MD5、SHA1或者SHA2-256)。
SHA2-256为此示例选择了。
第9.步。SA寿命(秒)告诉您时间IKE SA是活跃的在此阶段。当SA expire after各自寿命,一次新的协商为新的开始。范围是从120到86400,并且默认值是28800。
我们使用DEFAULT值28800秒作为我们的SA寿命在第i.阶段。
Note:建议您的在阶段的SA寿命我比您的SA第II阶段寿命长。如果比第II阶段使您的阶段我短,则您必须反复重新协商隧道频繁地与数据隧道相对。数据隧道是什么需要更多安全,因此有在的第II阶段的寿命短比第i.阶段最好的。
步骤10.第II阶段是您会加密反复被传递的数据的地方。在第2阶段选项,请选择一个协议从下拉列表:
· 封装安全有效载荷(ESP) –为数据加密选择ESP并且输入加密。
· 认证报头(AH) –为在数据不是秘密的情况的数据完整性选择此,换句话说,没有被加密,然而必须验证。它只用于验证数据流的来源和目的地。
在本例中,我们使用ESP作为我们的协议选择。
步骤11.选择一Encryption选项(3DES、AES-128、AES-192或者AES-256)从下拉列表。此方法确定用于的算法加密和解码ESP/ISAKMP信息包。
在本例中,我们将使用AES-192作为我们的Encryption选项。
Note:点击超链接关于配置VPN的安全的更多信息用IPsec或下一代加密。
步骤12。认证方法确定封装安全有效载荷协议(ESP)报头信息包如何被验证。选择一个认证(MD5、SHA1或者SHA2-256)。
SHA2-256为此示例选择了。
第13步。输入VPN隧道的时间(SA IPsec)是活跃的在此阶段。DEFAULT值第2阶段的是3600秒。我们使用DEFAULT值此演示。
步骤14。检查Enable (event)对enable (event)优秀的转发保密性。当完整转发安全性(PFS)时是启用的, IKE第2阶段协商生成IPsec数据流加密和认证的新密钥材料。PFS用于改进在互联网间传输的通信安全使用公共钥匙加密。如果您的设备可以支持它,这是推荐的。
第15步。选择一个Diffie-Hellman (DH)组。DH是一个密钥交换协议,与两个组不同的主关键字长度,第2组-第1024组位和Group5 - 1536位。我们选定组2 – 1024此演示的位。
Note:对于最高速度和低安全,请选择第2.组。对于更加慢速和更高的安全性,请选择第2组选择默认情况下的第5.组。
第16步。点击适用添加新的IPSec配置文件。
第17步。在点击以后请适用,您新的IPSec配置文件应该添加。
第18步。在页顶部,请点击Save图标连接到配置管理保存您的运行的配置到启动配置。这是为了保留在重新启动之间的配置。
第19步。在配置管理里,请确定来源是运行的配置,并且目的地是启动配置。然后请按适用保存您的运行的配置到启动配置。所有配置是可变的和没有保留在重新启动之间的路由器当前使用在运行配置文件。复制对启动配置文件的运行配置文件将保留在重新启动之间的所有配置。
第20步。再遵从所有步骤设置路由器B。
您应该顺利地当前创建了新的IPSec配置文件使用IKEv2作为您的两路由器的IKE版本。您准备配置Site to Site VPN。