在RV34x系列路由器上配置IKEv2

目标

本文档的目标是向您展示如何在RV34x系列路由器上使用IKEv2配置IPsec配置文件。

简介

用于RV34x系列路由器的固件版本1.0.02.16现在支持用于站点到站点VPN和客户端到站点VPN的互联网密钥交换版本2(IKEv2)。IKE是一种混合协议，在互联网安全关联和密钥管理协议(ISAKMP)框架内实施Oakley密钥交换和Skeme密钥交换。IKE 可提供 IPSec 对等方验证，协商 IPSec 密钥，以及协商 IPSec 安全关联。

IKEv2仍使用UDP端口500，但需要注意一些更改。失效对等体检测(DPD)的管理方式不同，现已内置。安全关联(SA)协商最小化为4条消息。此新更新还支持可扩展身份验证协议(EAP)身份验证，该身份验证现在能够利用AAA服务器和拒绝服务保护。

下表进一步说明了IKEv1和IKEv2之间的差异

IKEv1	IKEv2
SA两阶段协商 （主模式与主动模式）	SA单相协商（简化）
	本地/远程证书支持
	改进的冲突处理
	改进的密钥更新机制
	NAT穿越内置
	AAA服务器的EAP支持

 

IPsec可确保您通过Internet进行安全的私有通信。它为通过Internet传输敏感信息提供了两个或多个主机的隐私性、完整性和真实性。IPsec通常用于虚拟专用网络(VPN)，并在IP层实施，有助于为许多不安全的应用增加安全性。VPN用于为通过不安全网络（例如Internet）传输的敏感数据和IP信息提供安全通信机制。它还为远程用户和组织提供灵活的解决方案，以保护来自同一网络中其他各方的任何敏感信息。

为了成功加密和建立VPN隧道的两端，两者需要就加密、解密和身份验证的方法达成一致。IPsec配置文件是IPsec中的中心配置，用于在自动模式和手动键控模式下定义I和II协商的加密、身份验证和Diffie-Hellman(DH)组等算法。第I阶段建立预共享密钥以创建安全的经过身份验证的通信。第II阶段是流量加密的阶段。您可以配置大多数IPsec参数，如协议(封装安全负载(ESP))、身份验证报头(AH)、模式（隧道、传输）、算法（加密、完整性、Diffie-Hellman）、完全转发保密(PFS)、SA生命期和密钥管理协议(互联网密钥交换(IKE)- IKEIKEv1和IKEv2)。

有关Cisco IPsec技术的其他信息，请参阅以下链接：Cisco IPSec技术简介。

请注意，在配置站点到站点VPN时，远程路由器需要与本地路由器相同的IPsec配置文件配置。

下面是本地路由器和远程路由器的配置表。在本文档中，我们将使用路由器A配置本地路由器。

字段	本地路由器（路由器A）	远程路由器（路由器B）
配置文件名称	家庭办公室	远程办公室
键控模式	自动	自动
IKE版本	IKEv2	IKEv2
第I阶段选项	第I阶段选项	第I阶段选项
DH组	组2 - 1024位	组2 - 1024位
加密	AES-192	AES-192
身份验证	SHA2-256	SHA2-256
SA生命期	28800	28800
阶段II选项	阶段II选项	阶段II选项
协议选择	ESP	ESP
加密	AES-192	AES-192
身份验证	SHA2-256	SHA2-256
SA生命期	3600	3600
完全转发安全性	启用	启用
DH组	组2 - 1024位	组2 - 1024位

要了解如何在RV34x上配置站点到站点VPN，请点击链接：在RV34x上配置站点到站点VPN。

适用设备

··       RV34x

软件版本

·1.0.02.16

使用IKEv2配置IPsec配置文件

步骤1.登录本地路由器（路由器A）的Web配置页面。

步骤2.导航至VPN > IPSec Profiles。

步骤3.在“IPSec配置文件”表中，单击添加以创建新的IPsec配置文件。还有编辑、删除或克隆配置文件的选项。通过克隆配置文件，可以快速复制IPsec配置文件表中已存在的配置文件。如果您需要使用相同的配置创建多个配置文件，克隆将为您节省一些时间。

步骤4.输入配置文件名称并选择键控模式（自动或手动）。 配置文件名称不必与您的其他路由器匹配，但密钥模式需要匹配。

HomeOffice输入为配置文件名称。

为键控模式选择自动。

步骤5.选择IKEv1或IKEv2作为IKE版本。IKE是一种混合协议，在ISAKMP框架内实现Oakley密钥交换和Skeme密钥交换。Oakley和Skeme都定义了如何推导经过身份验证的密钥材料，但Skeme还包括快速密钥更新。IKEv2效率更高，因为它执行密钥交换所需的数据包更少，并且支持更多身份验证选项，而IKEv1仅执行共享密钥和基于证书的身份验证。

在本示例中，IKEv2被选作我们的IKE版本。

注意：如果设备支持IKEv2，则建议使用IKEv2。如果设备不支持IKEv2，则使用IKEv1。

步骤6.第I阶段设置和交换将用于加密第II阶段数据的密钥。在“阶段I”部分，选择DH组。DH是密钥交换协议，它有两组不同的主密钥长度，组2 - 1024位和组5 - 1536位。

组2 - 1024位已为此演示选择。

注意：为了更快速、更低的安全性，请选择组2。为了速度更慢、安全性更高，请选择组5。组2被选为默认值。

步骤7.从下拉列表中选择加密选项(3DS、AES-128、AES-192或AES-256)。此方法确定用于加密和解密ESP/ISAKMP数据包的算法。三重数据加密标准(3DES)使用DES加密三次，但现在已成为传统算法，只应在没有其他替代方案时使用，因为它仍提供可接受的边缘安全级别。用户应仅在需要向后兼容时使用它，因为它容易受到某些“阻止冲突”攻击。高级加密标准(AES)是一种加密算法，旨在比DES更安全。AES使用更大的密钥大小，确保只有入侵者才能尝试所有可能的密钥才能解密消息。如果您的设备可以支持AES，建议使用AES。

在本示例中，我们选择了AES-192作为加密选项。

注意：单击超链接可获取有关使用IPsec或下一代加密配置VPN安全的其他信息。

步骤8.身份验证方法确定如何验证ESP报头数据包。这是身份验证中使用的散列算法，用于验证A端和B端是否真正如他们所说。MD5是一种单向散列算法，生成128位摘要，比SHA1更快。SHA1是一种单向散列算法，生成160位摘要，而SHA2-256生成256位摘要。建议使用SHA2-256，因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1或SHA2-256)。

本例中选择了SHA2-256。

步骤9. SA生命期（秒）告诉您IKE SA在此阶段处于活动状态的时间。当SA在各自的生存期之后过期时，新协商开始。范围为120到86400，默认值为28800。

我们将使用默认值28800秒作为第I阶段的SA生命期。

注意：建议您的SA生命周期在第I阶段比您的第II SA生命期长。如果将第I阶段缩短到第II阶段，则您将不得不频繁重新协商隧道，而不是数据隧道。数据隧道需要更高的安全性，因此最好在第II阶段使寿命短于第I阶段。

步骤10.第II阶段是加密来回传递的数据的位置。在第2阶段选项中，从下拉列表中选择一个协议：

·封装安全负载(ESP) — 为数据加密选择ESP并输入加密。

·身份验证报头(AH) — 在数据不加密（即数据不加密但必须进行身份验证）的情况下，选择此选项以实现数据完整性。它仅用于验证流量的源和目标。

在本例中，我们将使用ESP作为协议选择。

步骤11.从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。此方法确定用于加密和解密ESP/ISAKMP数据包的算法。

在本例中，我们将使用AES-192作为加密选项。

注意：单击超链接可获取有关使用IPsec或下一代加密配置VPN安全的其他信息。

步骤12.身份验证方法确定如何验证封装安全负载协议(ESP)报头数据包。选择身份验证(MD5、SHA1或SHA2-256)。

本例中选择了SHA2-256。

步骤13.输入VPN隧道(IPsec SA)在此阶段处于活动状态的时间量。第2阶段的默认值为3600秒。我们将使用此演示的默认值。

步骤14.选中Enable启用完全向前保密。启用完全转发保密(PFS)后，IKE第2阶段协商将生成用于IPsec流量加密和身份验证的新密钥材料。PFS用于使用公钥加密技术提高通过Internet传输的通信的安全性。如果您的设备可以支持，则建议使用此选项。

步骤15.选择Diffie-Hellman(DH)组。DH是密钥交换协议，它有两组不同的主密钥长度，组2 - 1024位和组5 - 1536位。我们为本演示选择了组2 - 1024位。

注意：要获得更快的速度和更低的安全性，请选择组2。要获得更慢的速度和更高的安全性，请选择组5。默认情况下会选择组2。

步骤16.单击Apply添加新的IPsec配置文件。

步骤17.单击“应用”后，应添加新的IPsec配置文件。

步骤18.在页面顶部，单击“保存”图标导航至“配置管理”，将运行配置保存到启动配置。这是在重新启动后保留配置。

步骤19.在配置管理中，确保源为运行配置，目标为启动配置。然后按Apply将运行配置保存到启动配置。路由器当前使用的所有配置都在运行配置文件中，该文件是易失性的，在重新启动后不会保留。将运行配置文件复制到启动配置文件将保留重新启动后的所有配置。

步骤20.再次执行所有步骤以设置路由器B。

结论

现在，您应该已成功为两台路由器使用IKEv2作为IKE版本创建新的IPsec配置文件。您已准备好配置站点到站点VPN。