本文档显示如何在RV160和RV260上配置VPN设置向导。
技术不断发展,业务往往在办公室外进行。设备更具移动性,员工通常在家或出差时工作。这可能导致一些安全漏洞。虚拟专用网络(VPN)是将远程员工连接到安全网络的绝佳方式。VPN允许远程主机像连接到现场安全网络一样工作。
VPN通过Internet等安全性较低的网络建立加密连接。它确保连接的系统具有适当的安全级别。隧道建立为专用网络,通过使用行业标准加密和身份验证技术来保护发送的数据,从而安全地发送数据。远程访问VPN通常依靠互联网协议安全(IPsec)或安全套接字层(SSL)来保护连接。
VPN提供对目标网络的第2层访问;这些协议需要通过基本IPsec连接运行的隧道协议,如点对点隧道协议(PPTP)或第2层隧道协议(L2TP)。IPsec VPN支持网关到网关隧道的站点到站点VPN。例如,用户可以在分支站点配置VPN隧道以连接到公司站点的路由器,以便分支站点可以安全地访问公司网络。IPsec VPN还支持用于主机到网关隧道的客户端到服务器VPN。当从笔记本电脑/PC通过VPN服务器从家连接到企业网络时,客户端到服务器VPN非常有用。
RV160系列路由器支持10个隧道,RV260系列路由器支持20个隧道。VPN设置向导在为站点到站点IPsec隧道配置安全连接时引导用户。这通过避免复杂和可选的参数来简化配置,因此任何用户都可以快速高效地设置IPsec隧道。
·· RV160
·· RV260
·· 1.0.0.13
步骤1.登录本地路由器上的Web配置页面。
注意:我们将本地路由器称为路由器A,将远程路由器称为路由器B。在本文档中,我们将使用两个RV160演示VPN设置向导。
步骤2.导航至VPN > VPN设置向导。
步骤3.在“入门”部分,在“输入连接名称”字段中输入连接名称。我们在HomeOffice中输入了连接名称。
步骤4.在接口字段中,如果您使用RV260,请从下拉列表中选择接口。RV160只有WAN链路,因此您将无法从下拉列表中选择接口。单击Next(下一步)继续进入Remote Router Settings(远程路由器设置)。
步骤5.从下拉列表中选择远程连接类型。选择Static IP 或FQDN (完全限定域名),然后在Remote Address字段中输入要连接的WAN IP地址或网关的FQDN。在本示例中,选择了静态IP,并输入了远程路由器WAN IP地址(路由器B)。然后单击Next(下一步)以转到下一部分。
步骤6.在本地和远程网络部分的本地流量选择下,从下拉列表中选择本地IP(子网、单或任意)。如果选择Subnet,请输入子网IP地址和子网掩码。如果选择Single,请输入IP地址。如果选中了Any,请转到下一步以配置远程流量选择。
步骤7.在“远程流量选择”中,从下拉列表中选择“远程IP”(子网、单个或任意)。如果选择Subnet,请输入远程路由器(路由器B)的子网IP地址和子网掩码。 如果选择Single,请输入IP地址。然后单击下一步以配置配置文件部分。
注意:如果已为本地流量选择选择任意,则必须为远程流量选择选择子网或单。
步骤8.在“配置文件”部分,从下拉列表中选择IPsec配置文件的名称。在本演示中,新配置文件被选为IPsec配置文件。
步骤9.选择IKEv1(Internet密钥交换版本1)或IKEv2(Internet密钥交换版本2)作为IKE版本。IKE是一种混合协议,在互联网安全关联和密钥管理协议(ISAKMP)框架内实施Oakley密钥交换和Skeme密钥交换。IKE 可提供 IPSec 对等方验证,协商 IPSec 密钥,以及协商 IPSec 安全关联。IKEv2效率更高,因为它执行密钥交换所需的数据包更少,并且支持更多身份验证选项,而IKEv1仅执行共享密钥和基于证书的身份验证。在本示例中,IKEv1被选作我们的IKE版本。
注意:如果设备支持IKEv2,则建议使用IKEv2。如果设备不支持IKEv2,则使用IKEv1。两台路由器(本地和远程)都需要使用相同的IKE版本和安全设置。
步骤10.在第1阶段选项部分,从下拉列表中选择DH(Diffie-Hellman)组(组2 - 1024位或组5 - 1536位)。DH是密钥交换协议,具有两组不同的主密钥长度:组2最多有1,024位,组5最多有1,536位。我们将使用组2 - 1024位进行本演示。
注意:要获得更快的速度和更低的安全性,请选择组2。要获得更慢的速度和更高的安全性,请选择组5。默认情况下会选择组2。
步骤11.从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。此方法确定用于加密或解密封装安全负载(ESP)/互联网安全关联和密钥管理协议(ISAKMP)数据包的算法。三重数据加密标准(3DES)使用DES加密三次,但现在已成为传统算法。这意味着,只有在没有更好的替代方案时才应使用它,因为它仍提供可接受的边际安全级别。用户应仅在需要向后兼容时使用它,因为它容易受到某些“阻止冲突”攻击。高级加密标准(AES)是一种加密算法,旨在比DES更安全。AES使用更大的密钥大小,确保只有入侵者才能尝试所有可能的密钥才能解密消息。建议使用AES而不是3DES。在本例中,我们将使用AES-192作为加密选项。
注意:以下是一些可能有帮助的其他资源:使用IPSec和下一代加密配置VPN的安全。
步骤12.身份验证方法确定如何验证封装安全负载协议(ESP)报头数据包。MD5是一种单向散列算法,可生成128位摘要。SHA1是一种单向散列算法,它生成160位摘要,而SHA2-256生成256位摘要。建议使用SHA2-256,因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1或SHA2-256)。本例中选择了SHA2-256。
步骤13. SA生命期(秒)告诉您IKE SA在此阶段处于活动状态的时间量(以秒为单位)。新安全关联(SA)在生命期到期前协商,以确保新SA在旧SA到期时就可使用。默认值为28800,范围为120到86400。我们将使用默认值2800秒作为第I阶段的SA生命期。
注意:建议您的SA生命周期在第I阶段比您的第II SA生命期长。如果将第I阶段缩短到第II阶段,则您将不得不频繁重新协商隧道,而不是数据隧道。数据隧道需要更高的安全性,因此最好在第II阶段使寿命短于第I阶段。
步骤14.输入预共享密钥以用于对远程IKE对等体进行身份验证。您最多可以输入30个键盘字符或十六进制值,例如My_@123或4d795f40313233。VPN隧道的两端必须使用相同的预共享密钥。
注意:我们建议您定期更改预共享密钥,以最大限度地提高VPN安全性。
步骤15.在“阶段II选项”部分,从下拉列表中选择一个协议。
·· ESP — 为数据加密选择ESP并输入加密。
·· AH — 在数据不加密但必须进行身份验证的情况下,选择此选项以实现数据完整性。
步骤16.从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。此方法确定用于加密或解密封装安全负载(ESP)/互联网安全关联和密钥管理协议(ISAKMP)数据包的算法。三重数据加密标准(3DES)使用DES加密三次,但现在已成为传统算法。这意味着,只有在没有更好的替代方案时才应使用它,因为它仍提供可接受的边际安全级别。用户应仅在需要向后兼容时使用它,因为它容易受到某些“阻止冲突”攻击。高级加密标准(AES)是一种加密算法,旨在比DES更安全。AES使用更大的密钥大小,确保只有入侵者才能尝试所有可能的密钥才能解密消息。建议使用AES而不是3DES。在本例中,我们将使用AES-192作为加密选项。
注意:以下是一些可能有帮助的其他资源:使用IPSec和下一代加密配置VPN的安全。
步骤17.身份验证方法确定如何验证封装安全负载协议(ESP)报头数据包。MD5是一种单向散列算法,可生成128位摘要。SHA1是一种单向散列算法,它生成160位摘要,而SHA2-256生成256位摘要。建议使用SHA2-256,因为它更安全。确保VPN隧道两端使用相同的身份验证方法。选择身份验证(MD5、SHA1或SHA2-256)。本例中选择了SHA2-256。
步骤18.输入SA Lifetime(Sec),该SA Lifetime(Sec)是VPN隧道(IPsec SA)在此阶段处于活动状态的时间量(以秒为单位)。第2阶段的默认值为3600秒。
步骤19.启用完全向前保密(PFS)后,IKE第2阶段协商将生成用于IPsec流量加密和身份验证的新密钥材料。使用完全前向保密(Perfect Forward Secrecy)来提高通过Internet传输的通信的安全性。选中此框可启用此功能,或取消选中此框可禁用此功能。建议使用此功能。如果选中,请选择DH组。在本示例中使用Group2 - 1024位。
步骤20.在“另存为新配置文件”中,输入您刚创建的新配置文件的名称。单击Next查看VPN配置的摘要。
步骤21.验证信息,然后单击“提交”。
在远程路由器上,您需要配置与本地路由器相同的安全设置,但使用本地路由器IP地址作为远程流量。
步骤1.登录远程路由器(路由器B)上的Web配置页面,然后导航至VPN > VPN设置向导。
步骤2.输入连接名称,并选择在您使用RV260时将用于VPN的接口。RV160只有WAN链路,因此您无法从下拉列表中选择接口。然后单击“下一步”继续。
步骤3.在Remote Router Settings(远程路由器设置)中,选择Remote Connection Type(远程连接类型),然后输入路由器A的WAN IP地址。然后单击“下一步”继续下一部分。
步骤4.选择本地和远程流量。如果在Remote Traffic Selection字段中选择了Subnet,请在路由器A的专用IP地址子网中输入。然后单击下一步以配置配置文件部分。
步骤5.在“配置文件”部分中,选择与路由器A相同的安全设置。我们还输入了与路由器A相同的预共享密钥。然后单击下一步转到“摘要”页。
第I阶段选项:
阶段II选项:
步骤6.在“摘要”页中,验证您刚配置的信息是否正确。然后单击Submit以创建您的站点到站点VPN。
注意:路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。要在重新启动后保留配置,请确保在完成所有更改后将运行配置文件复制到启动配置文件。要执行此操作,请单击页面顶部显示的“保存”按钮,或导航至“管理”>“配置管理”。然后,确保源是运行配置,目标是启动配置。单击 Apply。
您应该已使用VPN设置向导成功配置站点到站点VPN。按照以下步骤验证您的站点到站点VPN是否已连接。
步骤1.要验证连接是否已建立,在导航到VPN > IPSec VPN > Site-to-Site时,应看到Connected状态。
步骤2.导航至Status and Statistics > VPN Status,并确保站点到站点隧道已启用且处于UP。