了解思科
购买方式

已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

在RV130或RV130W路由器上配置高级虚拟专用网络(VPN)设置

下载选项

  • PDF     (1.6 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.4 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 13 日
文档 ID:SMB4989

非歧视性语言

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

在RV130或RV130W路由器上配置高级虚拟专用网络(VPN)设置

目标

虚拟专用网络(VPN)是在网络内或网络之间建立的安全连接。VPN用于隔离指定主机和网络之间的流量与未授权主机和网络的流量。站点到站点(网关到网关)VPN将整个网络彼此连接,通过在公共域(也称为Internet)上创建隧道来维护安全。每个站点只需要本地连接到同一公共网络,从而节省长期专用租用线路的成本。

VPN对公司有利,因为它具有高度的可扩展性,简化了网络拓扑,并通过减少远程用户的差旅时间和成本提高了工作效率。

互联网密钥交换(IKE)是用于在VPN中建立通信安全连接的协议。此安全连接称为安全关联(SA)。 您可以创建IKE策略来定义在此过程中使用的安全参数,例如对等体的身份验证、加密算法等。要使VPN正常运行,两个端点的IKE策略应相同。

本文旨在介绍如何在RV130或RV130W路由器上配置Advanced VPN Setup(高级VPN设置),其中包括IKE Policy设置和VPN Policy设置。

适用设备

· RV130
· RV130W

软件版本

•1.0.3.22

配置高级VPN设置

添加/编辑Internet密钥交换(IKE)策略设置

步骤1.登录基于Web的实用程序,然后选择VPN > Site-to-Site IPSec VPN > Advanced VPN Setup

步骤2.(可选)如果要为VPN连接启用网络地址转换(NAT)遍历,请选中NAT遍历中的启用复选框。NAT穿越允许在使用NAT的网关之间建立VPN连接。如果VPN连接通过启用NAT的网关,请选择此选项。

步骤3.在IKE策略表中,单击添加行以创建新的IKE策略。

注意:如果已配置基本设置,则下表将包含已创建的基本VPN设置。您可以通过选中策略的复选框并单击编辑来编辑现有IKE策。“高级VPN设置”(Advanced VPN Setup)页面将更改:

 

步骤4.在IKE Name字段中,输入IKE策略的唯一名称。

注意:如果已配置基本设置,则创建的连接名称将设置为IKE名称。在本例中,VPN1是所选的IKE名称。

步骤5.从Exchange Mode下拉列表中,选择一个选项。

  • Main — 此选项允许IKE策略以比主动模式更高的安全性协商VPN隧道。如果比协商速度优先的是更安全的VPN连接,请单击此选项。

  • 主动 — 此选项允许IKE策略建立比主模式更快但安全性较低的连接。如果比高安全性优先的是更快的VPN连接,请单击此选项。

注意:在本例中,选择Main。

步骤6.从Local Identifier Type(本地标识符类型)下拉列表中选择以标识或指定本地路由器的Internet安全关联和密钥管理协议(ISAKMP)。选项有:

  • 本地广域网IP — 路由器使用本地广域网(WAN)IP作为主标识符。此选项通过Internet连接。选择此选项将显示下面的Local Identifier字段。

  • IP地址 — 单击此按钮可在本地标识符字段中输入IP地址。

  • FQDN — 完全限定域名(FQDN)或域名(如http://www.example.com)允许您在“本地标识符”(Local Identifier)字段中输入域名或IP地址。

  • 用户FQDN — 此选项是用户电子邮件地址,例如user@email.com。在Local Identifier字段中输入域名或IP地址。

  • DER ASN1 DN — 此选项是使用可分辨编码规则抽象语法符号1(DER ASN1)传输信息的可分辨名称(DN)的标识符类型。当VPN隧道与用户证书关联时,会发生这种情况。如果选择此选项,请在本地标识符字段中输入域名或IP地址。

注意:在本例中,选择本地WAN IP。

步骤7.从Remote Identifier Type下拉列表中选择,以标识或指定远程路由器的Internet安全关联和密钥管理协议(ISAKMP)。选项包括远程广域网IP、IP地址、FQDN、用户FQDN和DER ASN1 DN。

注意:在本例中,选择远程WAN IP。

步骤8.从Encryption Algorithm下拉列表中选择一个选项。

  • DES — 数据加密标准(DES)是一种56位的旧加密方法,它不是一种非常安全的加密方法,但可能是向后兼容所必需的。

  • 3DES — 三重数据加密标准(3DES)是一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。

  • AES-128 — 高级加密标准,带128位密钥(AES-128),使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128是默认加密算法,比AES-192和AES-256更快但更不安全。

  • AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。

  • AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。

注意:在本例中,选择AES-128。

步骤9.从Authentication Algorithm下拉列表中,从以下选项中选择:

  • MD5 — 消息摘要5(MD5)是使用128位哈希值进行身份验证的身份验证算法。MD5安全性较低,但比SHA-1和SHA2-256快。

  • SHA-1 — 安全散列函数1(SHA-1)使用160位散列值进行身份验证。SHA-1比MD5慢但更安全。SHA-1是默认身份验证算法,比SHA2-256快但不安全。

  • SHA2-256 — 安全散列算法2(具有256位哈希值)使用256位哈希值进行身份验证。SHA2-256比MD5和SHA-1慢,但更安全。

注意:在本例中,选择MD5。

步骤10.在Authentication Method下拉列表中,从以下选项中选择:

  • 预共享密钥(Pre-Shared Key) — 此选项需要与IKE对等体共享的密码。

  • RSA-Signature — 此选项使用证书对连接进行身份验证。如果选择此选项,则禁用预共享密钥字段。跳至步骤12

注意:在本示例中,选择预共享密钥。

步骤11.在预共享密钥字段中,输入长度介于8到49个字符之间的密码。

注意:在本例中,使用password123。

步骤12.从DH组下拉列表中,选择IKE使用的Diffie-Hellman(DH)组算法。DH组中的主机可以在彼此不知情的情况下交换密钥。组位数越高,安全性越好。

注意:在本例中,选择Group1。

步骤13.在SA-Lifetime字段中,输入VPN的SA在续约SA之前的持续时间(以秒为单位)。超时的范围是从 30 到 86400 秒。默认值为 28800。

第14步。(可选)选中用失效对等体检测(DPD)复选框以启用失效对等体检测。DPD监控IKE对等体,以查看对等体是否已停止运行或仍处于活动状态。如果检测到对等体为失效,设备将删除IPsec和IKE安全关联。DPD可防止在非活动对等体上浪费网络资源。

注意:如果不想启用Dead Peer Detection,请跳至步骤17

第15步。(可选)如果在第14步中启用了DPD,请在“DPD延迟”字段中输入对等体检查活动的频率(秒)。

注意:DPD延迟是连续DPD R-U-THE消息之间的间隔(以秒为单位)。DPD R-U-THERE消息仅在IPsec流量空闲时发送。默认值为 10。

第16步。(可选)如果在第14步中启用了DPD,请在DPD超时(DPD Timeout)字段中输入在丢弃非活动对等体之前等待的秒数。

注意:这是设备在考虑对等体失效之前应等待接收对DPD消息的响应的最长时间。默认值为 30。

步骤17.单击保

注意:系统将重新显示主Advanced VPN Setup页面。

现在,您应该已在路由器上成功配置IKE策略设置。

配置VPN策略设置

注意:要使VPN正常运行,两个端点的VPN策略应相同。

步骤1.在VPN策略表中,单击添加行以创建新的VPN策略。

注意:您还可以通过选中策略的复选框并点击编辑来编辑VPN策略。系统将显示Advanced VPN Setup页面:

步骤2.在Add/Edit VPN Configuration区域下的IPSec Name字段中,输入VPN策略的名称。

注意:在本例中,使用VPN1。

步骤3.从Policy Type下拉列表中,选择一个选项。

  • 手动策略 — 此选项允许您手动配置密钥,以用于VPN隧道的数据加密和完整性。如果选择此选项,则Manual Policy Parameters区域下的配置设置将启用。继续执行这些步骤,直到选择远程流量。单击处了解步骤。

  • 自动策略 — 策略参数自动设置。此选项使用IKE策略进行数据完整性和加密密钥交换。如果选择此选项,则启用Auto Policy Parameters区域下的配置设置。单击处了解步骤。确保IKE协议在两个VPN终端之间自动协商。

注意:在本例中,选择自动策略。

步骤4.从Remote Endpoint下拉列表中,选择一个选项。

  • IP地址(IP Address) — 此选项通过公有IP地址标识远程网络。

  • FQDN — 特定计算机、主机或Internet的完整域名。FQDN由两部分组成:主机名和域名。只有在步骤3中选择了“自动策略”时,才能启用此选项

注意:在本例中,选择IP地址。

步骤5.在Remote Endpoint字段中,输入远程地址的公有IP地址或域名。

注意:在本例中,使用192.168.2.101。

步骤6.(可选)如果要启用要通过VPN连接发送的网络基本输入/输出系统(NetBIOS)广播,请选中NetBios Enabled复选框。NetBIOS允许主机在局域网(LAN)内相互通信。

步骤7.从Local Traffic Selection区域下的Local IP下拉列表中,选择一个选项。

  • 单个 — 将策略限制为一台主机。

  • 子网 — 允许IP地址范围内的主机连接到VPN。

注意:在本例中,选择子网。

步骤8.在IP Address字段中,输入本地子网或主机的主机或子网IP地址。

注意:在本例中,使用本地子网IP地址10.10.10.1。

步骤9.(可选)如果在步骤7中选择了子网,请在子网掩码字段中输入客户端的子网掩码。如果在步骤1中选择了Single,则禁用Subnet Mask字段。

注意:在本例中,使用子网掩码255.255.0.0。

步骤10.从Remote Traffic Selection区域下的Remote IP下拉列表中,选择一个选项。

  • 单个 — 将策略限制为一台主机。
  • 子网 — 允许IP地址范围内的主机连接到VPN。

注意: 在本例中,选择子网。

步骤11.在“IP地址”字段中输入将属于VPN的主机的IP地址范围。如果在步骤10中选择了Single,请输入IP地址。

注意:在以下示例中,使用10.10.11.2。

步骤12.(可选)如果在步骤10中选择了子网,请在“子网掩码”字段中输入子网IP地址的子网掩码

注意:在以下示例中,使用255.255.0.0。

手动策略 参数

注:只有选择“手动策略”时,才能编辑这些字段。

步骤1.在SPI-Incoming字段中,为VPN连接上的传入流量输入安全参数索引(SPI)标记的三到八个十六进制字符。SPI标记用于区分一个会话的流量与其他会话的流量。

注意:在本例中,使用0xABCD。

步骤2.在SPI-Outgoing字段中,为VPN连接上的传出流量的SPI标记输入三到八个十六进制字符。

注意:在本例中,使用0x1234。

步骤3.从Manual Encryption Algorithm下拉列表中,选择一个选项。选项包括DES、3DES、AES-128、AES-192和AES-256。

注意:在本例中,选择AES-128。

步骤4.在Key-In字段中,输入入站策略的密钥。密钥长度取决于步骤3中选择的算法

  • DES使用8个字符的密钥。

  • 3DES使用24个字符的密钥。

  • AES-128使用16个字符的密钥。

  • AES-192使用24个字符的密钥。

  • AES-256使用32个字符的密钥。

注意:在本例中,使用123456789ABCDEFG。

步骤5.在Key-Out字段中,输入传出策略的密钥。密钥长度取决于步骤3中选择的算法

注意:在本例中,使用123456789ABCDEFG。

步骤6.从Manual Integrity Algorithm下拉列表中,选择一个选项。

  • MD5 — 使用128位哈希值实现数据完整性。MD5的安全性较低,但比SHA-1和SHA2-256快。

  • SHA-1 — 使用160位哈希值实现数据完整性。SHA-1比MD5慢但更安全,而SHA-1比SHA2-256快但不安全。

  • SHA2-256 — 使用256位哈希值实现数据完整性。SHA2-256比MD5和SHA-1慢但安全。

注意:在本例中,选择MD5。

步骤7.在Key-In字段中,输入入站策略的密钥。密钥长度取决于步骤6中选择的算法

  • MD5使用16个字符的密钥。

  • SHA-1使用20个字符的密钥。

  • SHA2-256使用32个字符的密钥。

注意:在本例中,使用123456789ABCDEFG。

步骤8.在Key-Out字段中,输入传出策略的密钥。密钥长度取决于步骤6中选择的算法

注意:在本例中,使用123456789ABCDEFG。

o策略参数

注意:在创建自动VPN策略之前,请确保根据要创建的自动VPN策略创建IKE策略。只有在步骤3中选择了“自动策略”,才能编辑这些字段

步骤1.在“IPSec SA-Lifetime”字段中,输入SA在续约前持续的时间(以秒为单位)。范围为30-86400。默认值为3600。

步骤2.从Encryption Algorithm下拉列表中,选择一个选项。选项有:

注意:在本例中,选择AES-128。

  • DES — 一种56位的旧加密方法,它不是一种非常安全的加密方法,但可能是向后兼容所必需的。

  • 3DES — 一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。

  • AES-128 — 使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128比AES-192和AES-256更快,但安全性较低。

  • AES-192 — 使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。

  • AES-256 — 使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。

  • AESGCM — 高级加密标准伽罗瓦计数器模式是通用身份验证的加密块密码模式。GCM身份验证使用的操作非常适合硬件中的高效实施,因此对高速实施或在高效紧凑的电路中实施尤其有吸引力。

  • AESCCM — 带CBC-MAC模式的高级加密标准计数器是通用身份验证的加密块密码模式。CCM非常适合用于紧凑型软件实施。

步骤3.从Integrity Algorithm下拉列表中,选择一个选项。选项为MD5、SHA-1和SHA2-256。

注意:在本例中,选择SHA-1。

步骤4.选中PFS Key Group中的Enable复选框以启用完全转发保密(PFS)。PFS提高了VPN安全性,但降低了连接速度。

步骤5.(可选)如果您选择在步骤4中启用PFS,请从DH组下拉列表中选择要加入的DH组。组编号越高,安全性越好。

注意:在本例中,选择组1。

步骤6.从Select IKE Policy下拉列表中,选择要用于VPN策略的IKE策略。

注意:在本示例中,仅配置了一个IKE策略,因此只显示一个策略。

步骤7.单击“保存”

注意:系统将重新显示主Advanced VPN Setup页面。应显示一条确认消息,表明配置设置已成功保存。

步骤8.在VPN Policy表下,选中复选框以选择VPN,然后单击Enable

注意:默认情况下,已配置的VPN策略处于禁用状态。

步骤9.单击“保存”

现在,您应该已在RV130或RV130W路由器上成功配置VPN策略。

此文档是否有帮助?

Feedback反馈

联系我们