在RV160和RV260上配置VPN设置向导

下载选项

  • PDF     (4.0 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (4.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (3.3 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 1 月 4 日
文档 ID:1546639783270485

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

本文档显示如何在RV160和RV260上配置VPN设置向导。

简介

技术不断发展,业务往往在办公室外进行。设备更具移动性,员工通常在家或出差时工作。这可能导致一些安全漏洞。虚拟专用网络(VPN)是将远程员工连接到安全网络的绝佳方式。VPN允许远程主机像连接到现场安全网络一样工作。

VPN通过Internet等安全性较低的网络建立加密连接。它确保连接的系统具有适当的安全级别。隧道建立为专用网络,通过使用行业标准加密和身份验证技术来保护发送的数据,从而安全地发送数据。远程访问VPN通常依靠互联网协议安全(IPsec)或安全套接字层(SSL)来保护连接。

VPN提供对目标网络的第2层访问;这些协议需要通过基本IPsec连接运行的隧道协议,如点对点隧道协议(PPTP)或第2层隧道协议(L2TP)。IPsec VPN支持网关到网关隧道的站点到站点VPN。例如,用户可以在分支站点配置VPN隧道以连接到公司站点的路由器,以便分支站点可以安全地访问公司网络。IPsec VPN还支持用于主机到网关隧道的客户端到服务器VPN。当从笔记本电脑/PC通过VPN服务器从家连接到企业网络时,客户端到服务器VPN非常有用。

RV160系列路由器支持10个隧道,RV260系列路由器支持20个隧道。VPN设置向导在为站点到站点IPsec隧道配置安全连接时引导用户。这通过避免复杂和可选的参数来简化配置,因此任何用户都可以快速高效地设置IPsec隧道。

适用设备

··        RV160

··        RV260

软件版本

··        1.0.0.13

本地路由器上的VPN设置向导配置

步骤1.登录本地路由器上的Web配置页面。

注意:我们将本地路由器称为路由器A,将远程路由器称为路由器B。在本文档中,我们将使用两个RV160演示VPN设置向导。

步骤2.导航至VPN > VPN设置向导

步骤3.在“入门”部分,在“输入连接名称”字段中输入连接名称。我们在HomeOffice中输入了连接名称。

步骤4.在接口字段中,如果您使用RV260,请从下拉列表中选择接口。RV160只有WAN链路,因此您将无法从下拉列表中选择接口。单击Next(下一步)继续进入Remote Router Settings(远程路由器设置)。

步骤5.从下拉列表中选择远程连接类型。选择Static IPFQDN (完全限定域名),然后在Remote Address字段中输入要连接的WAN IP地址或网关的FQDN。在本示例中,选择了静态IP,并输入了远程路由器WAN IP地址(路由器B)。然后单击Next(下一步)以转到下一部分。

步骤6.在本地和远程网络部分的本地流量选择下,从下拉列表中选择本地IP(子网、单任意)。如果选择Subnet,请输入子网IP地址和子网掩码。如果选择Single,请输入IP地址。如果选中了Any,请转到下一步以配置远程流量选择

步骤7.在“远程流量选择”中,从下拉列表中选择“远程IP”(子网、单个或任意)。如果选择Subnet,请输入远程路由器(路由器B)的子网IP地址和子网掩码。 如果选择Single,请输入IP地址。然后单击下一步以配置配置文件部分。

注意:如果已为本地流量选择选择任意,则必须为远程流量选择选择子网或单。

步骤8.在“配置文件”部分,从下拉列表中选择IPsec配置文件的名称。在本演示中,新配置文件被选为IPsec配置文件。

步骤9.选择IKEv1(Internet密钥交换版本1)或IKEv2(Internet密钥交换版本2)作为IKE版本。IKE是一种混合协议,在互联网安全关联和密钥管理协议(ISAKMP)框架内实施Oakley密钥交换和Skeme密钥交换。IKE 可提供 IPSec 对等方验证,协商 IPSec 密钥,以及协商 IPSec 安全关联。IKEv2效率更高,因为它执行密钥交换所需的数据包更少,并且支持更多身份验证选项,而IKEv1仅执行共享密钥和基于证书的身份验证。在本示例中,IKEv1被选作我们的IKE版本。

注意:如果设备支持IKEv2,则建议使用IKEv2。如果设备不支持IKEv2,则使用IKEv1。两台路由器(本地和远程)都需要使用相同的IKE版本和安全设置。

步骤10.在第1阶段选项部分,从下拉列表中选择DH(Diffie-Hellman)组(组2 - 1024位组5 - 1536位)。DH是密钥交换协议,具有两组不同的主密钥长度:组2最多有1,024位,组5最多有1,536位。我们将使用组2 - 1024位进行本演示。

注意:要获得更快的速度和更低的安全性,请选择组2。要获得更慢的速度和更高的安全性,请选择组5。默认情况下会选择组2。

步骤11.从下拉列表中选择加密选项(3DES、AES-128、AES-192AES-256)。此方法确定用于加密或解密封装安全负载(ESP)/互联网安全关联和密钥管理协议(ISAKMP)数据包的算法。三重数据加密标准(3DES)使用DES加密三次,但现在已成为传统算法。这意味着,只有在没有更好的替代方案时才应使用它,因为它仍提供可接受的边际安全级别。用户应仅在需要向后兼容时使用它,因为它容易受到某些“阻止冲突”攻击。高级加密标准(AES)是一种加密算法,旨在比DES更安全。AES使用更大的密钥大小,确保只有入侵者才能尝试所有可能的密钥才能解密消息。建议使用AES而不是3DES。在本例中,我们将使用AES-192作为加密选项。

注意:以下是一些可能有帮助的其他资源:使用IPSec和下一代加密配置VPN的安全

步骤12.身份验证方法确定如何验证封装安全负载协议(ESP)报头数据包。MD5是一种单向散列算法,可生成128位摘要。SHA1是一种单向散列算法,它生成160位摘要,而SHA2-256生成256位摘要。建议使用SHA2-256,因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1SHA2-256)。本例中选择了SHA2-256。

步骤13. SA生命期(秒)告诉您IKE SA在此阶段处于活动状态的时间量(以秒为单位)。新安全关联(SA)在生命期到期前协商,以确保新SA在旧SA到期时就可使用。默认值为28800,范围为120到86400。我们将使用默认值2800秒为第I阶段的SA生命期。

注意:建议您的SA生命周期在第I阶段比您的第II SA生命期长。如果将第I阶段缩短到第II阶段,则您将不得不频繁重新协商隧道,而不是数据隧道。数据隧道需要更高的安全性,因此最好在第II阶段使寿命短于第I阶段。

步骤14.输入预共享密钥以用于对远程IKE对等体进行身份验证。您最多可以输入30个键盘字符或十六进制值,例如My_@123或4d795f40313233。VPN隧道的两端必须使用相同的预共享密钥。

注意:我们建议您定期更改预共享密钥,以最大限度地提高VPN安全性。

步骤15.在“阶段II选项”部分,从下拉列表中选择一个协议。

··       ESP — 为数据加密选择ESP并输入加密。

··       AH — 在数据不加密但必须进行身份验证的情况下,选择此选项以实现数据完整性。

步骤16.从下拉列表中选择加密选项(3DES、AES-128、AES-192AES-256)。此方法确定用于加密或解密封装安全负载(ESP)/互联网安全关联和密钥管理协议(ISAKMP)数据包的算法。三重数据加密标准(3DES)使用DES加密三次,但现在已成为传统算法。这意味着,只有在没有更好的替代方案时才应使用它,因为它仍提供可接受的边际安全级别。用户应仅在需要向后兼容时使用它,因为它容易受到某些“阻止冲突”攻击。高级加密标准(AES)是一种加密算法,旨在比DES更安全。AES使用更大的密钥大小,确保只有入侵者才能尝试所有可能的密钥才能解密消息。建议使用AES而不是3DES。在本例中,我们将使用AES-192作为加密选项。

注意:以下是一些可能有帮助的其他资源:使用IPSec和下一代加密配置VPN的安全

步骤17.身份验证方法确定如何验证封装安全负载协议(ESP)报头数据包。MD5是一种单向散列算法,可生成128位摘要。SHA1是一种单向散列算法,它生成160位摘要,而SHA2-256生成256位摘要。建议使用SHA2-256,因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1SHA2-256)。本例中选择了SHA2-256。

步骤18.输入SA Lifetime(Sec),该SA Lifetime(Sec)是VPN隧道(IPsec SA)在此阶段处于活动状态的时间量(以秒为单位)。第2阶段的默认值为3600秒。

步骤19.启用完全向前保密(PFS)后,IKE第2阶段协商将生成用于IPsec流量加密和身份验证的新密钥材料。使用完全前向保密(Perfect Forward Secrecy)来提高通过Internet传输的通信的安全性。选中此框可启用此功能,或取消选中此框可禁用此功能。建议使用此功能。如果选中,请选择DH组。在本示例中使用Group2 - 1024位。

步骤20.在“另存为新配置文件”中,输入您刚创建的新配置文件的名称。单击Next查看VPN配置的摘要。

步骤21.验证信息,然后单击“提交”

远程路由器上的VPN设置向导配置

在远程路由器上,您需要配置与本地路由器相同的安全设置,但使用本地路由器IP地址作为远程流量。

步骤1.登录远程路由器(路由器B)上的Web配置页面,然后导航至VPN > VPN设置向导

步骤2.输入连接名称,并选择在您使用RV260时将用于VPN的接口。RV160只有WAN链路,因此您无法从下拉列表中选择接口。然后单击“下一步”继续。

 

步骤3.在Remote Router Settings(远程路由器设置)中,选择Remote Connection Type(远程连接类型),然后输入路由器A的WAN IP地址。然后单击“下一步”继续下一部分。

步骤4.选择本地和远程流量。如果在Remote Traffic Selection字段中选择了Subnet,请在路由器A的专用IP地址子网中输入。然后单击下一步以配置配置文件部分。

步骤5.在“配置文件”部分中,选择与路由器A相同的安全设置。我们还输入了与路由器A相同的预共享密钥。然后单击下一步转到“摘要”页。

第I阶段选项:

阶段II选项:

步骤6.在“摘要”中,验证您刚配置的信息是否正确。然后单击Submit以创建您的站点到站点VPN。

注意:路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。要在重新启动后保留配置,请确保在完成所有更改后将运行配置文件复制到启动配置文件。要执行此操作,请单击页面顶部显示的“保存”按钮,或导航至“管理”>“配置管理”。然后,确保源行配置,目标启动配置。单击 Apply

结论

您应该已使用VPN设置向导成功配置站点到站点VPN。按照以下步骤验证您的站点到站点VPN是否已连接。

步骤1.要验证连接是否已建立,在导航到VPN > IPSec VPN > Site-to-Site时,应看到Connected状态。

步骤2.导航至Status and Statistics > VPN Status,并确保站点到站点隧道已启用处于UP

此文档是否有帮助?

Feedback反馈

联系我们