虚拟专用网络(VPN)是安全连接被建立在网络内或在网络之间。VPN服务分离指定的主机和网络之间的数据流从未授权的主机和网络数据流。站点到站点(网关到网关的) VPN彼此连接整个网络,维护安全通过创建在也叫作互联网的公共域的一条隧道。每个站点需要与同一个公共网络的仅本地连接,从而存金钱在长的专用的leased−lines。
VPN对公司是有利的,在这种情况下它高可朔性,简化网络拓扑,并且经过降低行程时间和费用改进生产率异地用户的。
Internet Key Exchange (IKE)是用于的协议建立通信的一个安全连接在VPN。此安全连接称为安全关联(SA)。您能创建IKE策略定义用于此进程的安全参数例如对等体的认证,加密算法,等等。为了使正常运行的VPN,两端点的IKE策略应该是相同的。
此条款打算显示如何配置在RV130或RV130W路由器的先进的VPN设置,报道IKE策略设置和VPN策略设置。
•RV130
•RV130W
•1.0.3.22
步骤1.登陆到基于Web的工具并且选择VPN >站点至站点IPSec VPN >Advanced VPN设置。
第2.步(可选的)检查在NAT横越的Enable复选框,如果想要对enable (event)网络地址转换(NAT) VPN连接的穿越。NAT横越允许VPN联系被建立在使用NAT的网关之间。如果您的VPN连接穿过一个支持NAT的网关,请选择此选项。
第 3 步:在IKE策略表里,请点击Add行创建新的IKE策略。
注意:如果配置了基本设置,则下面表将包含被创建的基本VPN设置。您能通过检查复选框编辑现有的IKE策略策略并且点击编辑。先进的VPN设置页更改:
第 4 步:在IKE名称字段,请输入一个唯一名字对于IKE策略。
Note:如果配置了基本设置,被创建的连接名将设置作为IKE名字。在本例中, VPN1是选择的IKE名字。
第 5 步:从Exchange模式下拉列表,请选择选项。
主要—此选项比积极模式允许IKE策略与更高的安全性协商VPN隧道。如果更多安全VPN连接是在协商的速度的优先级请点击此选项。
积极—此选项比主要模式允许IKE策略建立更加快速,但是较少安全连接。如果更加快速的VPN连接是在高安全性的优先级请点击此选项。
Note:在本例中,主要被选择。
步骤6.从本地标识Typedrop-down列表选择识别或指定您的本地路由器互联网安全协会和密钥管理协议(ISAKMP)。选项是:
本地广域网IP —路由器使用本地广域网络(广域网) IP作为主要标识。此选项通过互联网连接。选择此选项变灰下面本地标识符字段。
IP地址—点击此在本地标识符字段允许您输入IP地址。
FQDN —完全合格的域名(FQDN)或您的域名例如http://www.example.com在本地标识符字段允许您输入您的域名或IP地址。
用户FQDN —此选项是一个用户电子邮件地址例如user@email.com。输入域名或IP地址在本地标识符字段。
DER ASN1 DN —此选项是特有名(DN)的一种标识类型传播信息的该用途区分的编码的规则抽象语法标记(DER ASN1)。当VPN隧道与用户证书时,产生关联这发生。如果这被选择,请输入域名或IP地址在本地标识符字段。
Note:在本例中,本地广域网IP被选择。
步骤7.从远程标识类型下拉列表选择识别或指定您的远程路由器互联网安全协会和密钥管理协议(ISAKMP)。选项是远程广域网IP、IP地址、FQDN、用户FQDN和DER ASN1 DN。
Note:在本例中,远程广域网IP被选择。
步骤8.从加密算法下拉列表选择选项。
DES —数据加密标准(DES)是56位,不是一个非常安全的加密方法的老加密方法,但是可能对于向后兼容性是必需的。
3DES —因为加密数据三次,三重数据加密标准(3DES)是168-bit,用于的简单的加密方法增加密钥大小。这比DES提供更多安全,但是较少安全比AES。
AES-128 —高级加密标准用128-bit键(AES-128)使用一个128-bit键AES加密。AES比DES快速和安全。一般来说, AES比3DES也快速和安全。AES-128比AES-192和AES-256是默认加密算法并且更加快速,但是巩固。
AES-192 — AES-192使用一个192-bit键AES加密。AES-192比AES-128更慢,但是安全和快速地,但是巩固比AES-256。
AES-256 — AES-256使用一个256-bit键AES加密。AES-256比AES-128和AES-192更慢,但是安全。
Note:在本例中, AES-128选择。
第9.步。从认证算法下拉列表,从以下选项请选择:
MD5 —消息摘要5 (MD5)是使用一个128-bit Hash值认证的认证算法。MD5比SHA-1和SHA2-256较不安全,但是快速地。
SHA-1 —安全散列功能1 (SHA-1)使用一个160-bit Hash值认证。SHA-1比MD5更慢,但是安全。SHA-1比SHA2-256是默认验证算法并且更加快速,但是巩固。
SHA2-256 —与256-bit Hash值(SHA2-256)的安全散列算法2使用一个256-bit Hash值认证。SHA2-256比MD5和SHA-1更慢,但是安全。
Note:在本例中, MD5被选择。
第10.步。在认证方法下拉列表中,从以下选项请选择:
预共享密钥—此选项要求与IKE对等体共享的一个密码。
RSA签名—此选项使用证书验证连接。如果这被选择, Pre-Shared Key字段是失效的。跳过对步骤12。
Note:在本例中预共享密钥被选择。
第11.步。在Pre-Shared Key字段,请输入在长度8个和49个字符之间的密码。
Note:在本例中,使用yourpassword123。
步骤12。从Diffie-Hellman (DH)组算法IKE使用的DH组下拉列表,请选择。在DH组的主机能交换键,不用知识彼此。越高组位序号,越好安全。
Note:在本例中, Group1被选择。
第13步。在SA寿命字段,请输入以秒钟VPN的SA多久持续,在SA被更新前。范围是从30到86400秒。默认值是28800。
步骤14。(可选)请检查Enable (event)对端死机检测复选框对enable (event)对端死机检测(DPD)。DPD监控IKE对等体发现对等体是否停止作用或运行。如果对等体被发现如停止,设备删除IPsec和IKE安全关联。DPD防止网络资源浪费在非激活对等体的。
Note:如果不希望对enable (event)对端死机检测,请跳到第17步。
第15步。(可选),如果在步骤14的启用DPD,输入多频繁(以秒钟)对等体被检查在DPD延迟字段的活动。
Note:DPD延迟是间隔以在连续的DPD R-U-THERE消息之间的秒钟。DPD R-U-THERE信息,只有当IPSec信息数据流是空闲时,传送。默认值为 10。
第16步。(可选),如果在步骤14的启用DPD,输入多少秒钟等待在一个非激活对等体前在DPD超时字段下降。
Note:这是设备应该等待在认为对等体前收到对DPD消息的答复停止的最大时间。DEFAULT值是30。
第17步。Click Save.
Note:主要先进的VPN设置页再现。
您应该成功当前配置了在您的路由器的IKE策略设置。
注意:为了使正常运行的VPN,两端点的VPN策略应该是相同的。
第 1 步:在VPN策略表里,请点击Add行创建一个新的VPN策略。
Note:您能通过检查复选框也编辑VPN策略策略并且点击编辑。先进的VPN设置页出版:
Step 2.在添加下的IPSec名称字段/请编辑VPN配置地区,输入一个名字对于VPN策略。
Note:在本例中,使用VPN1。
第 3 步:从策略请键入下拉列表,选择选项。
手工的策略—此选项允许您手工配置数据加密和完整性的键VPN隧道的。如果这被选择,在手工的策略参数范围下的配置设置是启用的。延伸直到远程数据流选择的步骤。点击此处认识步骤。
自动策略—自动地设置策略参数。此选项使用IKE策略数据完整性和加密密钥交换。如果这被选择在自动策略参数范围下的配置设置是启用的。点击此处认识步骤。切记您的IKE协议自动地协商在两个VPN终端之间。
Note:在本例中,自动策略被选择。
第 4 步:从远程终点下拉列表,请选择选项。
Note:对于此示例, IP地址被选择。
第 5 步:在远程终点字段,请输入远端地址的公共IP地址或域名。
Note:在本例中,使用192.168.2.101。
NetBios Enabled复选框的第6.步(可选的)检查,如果希望对enable (event)网络基本输入/输出系统(NetBIOS)播放通过VPN连接被发送。NetBIOS允许主机与彼此联络在一个区域网(LAN)内。
第 7 步:从在本市通话业务选择地区下的本地IP下拉列表,请选择选项。
单一对一台主机限制策略。
子网—允许在IP地址范围内的主机连接到VPN。
Note:在本例中,子网被选择。
第8.步。在IP Address字段,请输入本地子网的主机或子网IP地址或主机。
Note:在本例中,使用10.10.10.1的本地子网IP地址。
第9.步(可选),如果子网在第7步选择,在子网掩码字段输入客户端的子网掩码。子网掩码字段是失效的,如果单个被选择在Step1。
Note:在本例中,使用255.255.0.0子网掩码。
第10.步。从在远程数据流选择地区下的远程IP下拉列表,请选择选项。
Note:在本例中,子网被选择。
步骤11.输入主机的IP地址的范围将是VPN的一部分在IP Address字段。如果单个在第10步选择,输入IP地址。
Note:在下面的示例中的,使用10.10.11.2。
步骤12。(可选),如果子网在第10步选择,请输入子网IP地址的子网掩码在子网掩码字段。
Note:在下面的示例中的,使用255.255.0.0。
Note: 如果手工的策略被选择,这些字段可能只被编辑。
第 1 步:在SPI流入字段,请进入安全参数索引(SPI)标记的三个到八个十六进制字符在VPN连接的流入的数据流的。SPI标记用于与其他会话数据流区分一次会话数据流。
Note:对于此示例,使用0xABCD。
Step 2.在SPI流出的字段,请输入SPI标记的三个到八个十六进制字符在VPN连接的流出的数据流的。
Note:对于此示例,使用0x1234。
第 3 步:从手工的加密算法下拉列表,请选择选项。选项是DES、3DES、AES-128、AES-192和AES-256。
Note:在本例中, AES-128被选择。
第 4 步:在KEY在字段,请输入Inbound政策的一个键。密钥长度取决于在选择的算法第3.步。
DES使用一个8字符键。
3DES使用一个24字符键。
AES-128使用一个16字符键。
AES-192使用一个24字符键。
AES-256使用一个32字符键。
Note:在本例中,使用123456789ABCDEFG。
第 5 步:在KEY字段,请输入流出的策略的一个键。密钥长度取决于在选择的算法第3.步。
Note:在本例中,使用123456789ABCDEFG。
第6.步。从手工的完整性算法下拉列表,请选择选项。
MD5 —使用一个128-bit Hash值数据完整性。MD5比SHA-1和SHA2-256较不安全,但是快速地。
SHA-1 —使用一个160-bit Hash值数据完整性。SHA-1比MD5更慢,但是安全,并且SHA-1比SHA2-256更加快速,但是巩固。
SHA2-256 —使用一个256-bit Hash值数据完整性。SHA2-256比MD5和SHA-1是慢,但是巩固。
Note:在本例中, MD5被选择。
第 7 步:在KEY在字段,请输入Inbound政策的一个键。密钥长度取决于在选择的算法第6.步。
MD5使用一个16字符键。
SHA-1使用一个20字符键。
SHA2-256使用一个32字符键。
Note:在本例中,使用123456789ABCDEFG。
第8.步。在KEY字段,请输入流出的策略的一个键。密钥长度取决于在选择的算法第6.步。
Note:在本例中,使用123456789ABCDEFG。
Note:在您创建一个自动VPN策略前,请保证您创建根据哪些的IKE策略您希望创建自动VPN策略。如果自动策略在第3.步,选择这些字段可能只被编辑。
第 1 步:在IPSec SA寿命字段,请输入以秒钟SA多久在续订前持续。范围是从30-86400。默认值是3600。
Step 2.从加密算法下拉列表,请选择选项。选项是:
Note:在本例中, AES-128被选择。
DES —56位,不是一个非常安全的加密方法的老加密方法,但是可能对于向后兼容性是必需的。
3DES —因为加密数据三次, 168-bit,简单的加密方法曾经增加密钥大小。这比DES提供更多安全,但是较少安全比AES。
AES-128 —使用一个128-bit键AES加密。AES比DES快速和安全。一般来说, AES比3DES也快速和安全。AES-128比AES-192和AES-256更加快速,但是巩固。
AES-192 —使用一个192-bit键AES加密。AES-192比AES-128更慢,但是安全和快速地,但是巩固比AES-256。
AES-256 —使用一个256-bit键AES加密。AES-256比AES-128和AES-192更慢,但是安全。
AESGCM —高级加密标准伽罗华计数器模式是一个通用的验证的加密分组密码模式。GCM认证使用是特别非常合适的对高效的实施在硬件方面,做特别是要求为高速的实施,或者为在一条高效和紧凑电路的实施的它的操作。
AESCCM —高级加密标准计数器同CBC-MAC模式是一个通用的验证的加密分组密码模式。CCM是非常合适的用于紧凑软件实施。
第 3 步:从完整性算法下拉列表,请选择选项。选项是MD5、SHA-1和SHA2-256。
Note:在本例中, SHA-1被选择。
第 4 步:检查在PFS键组的Enable复选框对enable (event)完整转发安全性(PFS)。PFS强化VPN安全,但是减速连接的速度。
第5.步(可选),如果选择了对在第4步的enable (event) PFS,选择DH组从DH组下拉列表加入。越高组编号,越好安全。
Note:对于此示例, Group1被选择。
第6.步。从使用的IKE策略VPN策略的挑选IKE策略下拉列表,请选择。
Note:在本例中,仅配置了一IKE策略那么仅一个策略出现。
步骤7.点击“Save”。
注意:主要先进的VPN设置页再现。确认消息配置设置顺利地被保存了应该出现。
第8.步。在VPN策略表下,请检查一个复选框选择VPN并且点击Enable (event)。
Note:默认情况下被配置的VPN策略被禁用。
步骤9.点击“Save”。
您应该成功当前配置了由于您的RV130或RV130W路由器的一个VPN策略。