本文档旨在向您展示如何在RV160和RV260系列路由器上为手动密钥模式配置IPsec配置文件。
IPsec可确保您通过Internet进行安全的私有通信。它为通过Internet传输敏感信息提供了两个或多个主机的隐私性、完整性和真实性。IPsec通常用于在IP层实施的虚拟专用网络(VPN),可帮助许多缺乏安全性的应用。VPN用于为通过不安全网络(例如Internet)传输的敏感数据和IP信息提供安全通信机制。它为远程用户和组织提供了灵活的解决方案,以保护来自同一网络中其他各方的任何敏感信息。
手动键控模式降低了IPsec的灵活性和选项。它要求用户向正在配置的每台设备提供密钥材料和必要的安全关联信息。手动键控扩展性不佳,通常在小型环境中使用效果最好。
仅当此路由器上的互联网密钥交换(IKE)v1或IKEv2的实施与远程路由器不同或其中一台路由器不支持IKE时,才建议使用此方法。在这些情况下,您可以手动输入密钥。如果您的路由器同时支持IKEv1或IKEv2并遵循相同的标准,建议为IPsec配置文件配置自动密钥模式,而不是手动密钥模式。
使用手动键控模式时,请确保本地路由器上的Key In是远程路由器上的Key Out,而远程路由器上的Key In 是本地路由器上的Key Out。
两台路由器的配置示例为:
字段 | Router A | Router B |
SPI传入 | 100 | 100 |
SPI传出 | 100 | 100 |
加密 | AES-256 | AES-256 |
按键 | ...91bb2b489ba0d28c7741b | ...858b8c5ec355505650b16 |
密钥输出 | ...858b8c5ec355505650b16 | ...91bb2b489ba0d28c7741b |
身份验证 | SHA2-256 | SHA2-256 |
按键 | ...A00997ec3a195061c81e4 | ...2f2de681af020b9ad5f3e3 |
密钥输出 | ...2f2de681af020b9ad5f3e3 | ...A00997ec3a195061c81e4 |
有关Cisco IPsec技术的其他信息,请参阅以下链接:Cisco IPSec技术简介。
要了解如何在RV160和RV260上使用自动键控模式配置IPsec配置文件,请单击此处。
要了解如何在RV160和RV260上配置站点到站点VPN,请单击此处。
要使用设置向导配置站点到站点VPN,请参阅上的文章:在RV160和RV260上配置VPN设置向导。
· RV160
· RV260
·1.0.00.15
步骤1.登录Web配置实用程序。
步骤2.导航至VPN > IPSec VPN > IPSec配置文件。
步骤3.按加号图标创建新的IPsec配置文件。
步骤4.在Profile Name字段中输入配置文件名称。
步骤5.为键控模式选择“手动”。
步骤6.在“IPSec配置”部分,输入安全参数索引(SPI)传入和SPI传出。SPI是在使用IPsec为IP流量建立隧道时添加到报头的标识标记。此标记可帮助内核识别可能使用不同加密规则和算法的两个流量流。十六进制范围为100-FFFFFFFF。
我们将对SPI Incoming和Outgoing使用默认值100。
步骤7.从下拉列表中选择加密(3DES、AES-128、AES-192或AES-256)。此方法确定用于加密或解密ESP/ISAKMP数据包的算法。三重数据加密标准(3DES)使用DES加密三次,但现在已成为传统算法。这意味着,只有在没有更好的替代方案时才应使用它,因为它仍提供可接受的边际安全级别。用户应仅在需要向后兼容时使用它,因为它容易受到某些“阻止冲突”攻击。不建议使用3DES,因为它不被视为安全。
高级加密标准(AES)是一种设计为比3DES更安全的加密算法。AES使用更大的密钥大小,确保只有入侵者才能尝试所有可能的密钥才能解密消息。如果您的设备可以支持AES,建议使用AES。
在本例中,我们将使用AES-256作为加密。
步骤8.在Key In字段中输入64个字符的十六进制数。这是解密以十六进制格式接收的ESP数据包的密钥。
最佳实践:使用随机十六进制生成器配置您的密钥输入和密钥输出。确保远程路由器具有相同的十六进制数。
步骤9.在Key Out字段中输入64个字符的十六进制数。这是用于以十六进制格式加密普通数据包的密钥。
步骤10.身份验证方法确定如何验证ESP报头数据包。这是身份验证中使用的散列算法,用于验证A端和B端是否真正如他们所说。
MD5是一种单向散列算法,生成128位摘要,比SHA1更快。SHA1是一种单向散列算法,生成160位摘要,而SHA2-256生成256位摘要。建议使用SHA2-256,因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1或SHA2-256)。
在本例中,我们将选择SHA2-256。
步骤11.在Key In字段中输入64个字符的十六进制数。这是解密以十六进制格式接收的ESP数据包的密钥。
步骤12.在Key Out字段中输入64个字符的十六进制数。这是用于以十六进制格式加密普通数据包的密钥。
步骤13.按Apply创建新的IPsec配置文件。
步骤14.在页面顶部,单击“保存”按钮。您将转到“配置管理”页。
步骤15.路由器当前使用的所有配置都在运行配置文件中。如果设备断电或重新启动,配置将丢失。将运行配置文件复制到启动配置文件可确保保存配置。在Configuration Management下,确保源为Running Configuration,目标为Startup Configuration。单击 Apply。
现在,您应该已在RV160或RV260上使用手动密钥模式成功配置了IPsec配置文件。