虚拟专用网络(VPN)是在网络内或网络之间建立的安全连接。VPN用于隔离指定主机和网络之间的流量与未授权主机和网络的流量。站点到站点(网关到网关)VPN将整个网络彼此连接,通过在公共域(也称为Internet)上创建隧道来维护安全。每个站点只需要本地连接到同一公共网络,从而节省长期专用租用线路的成本。
VPN对公司有利,因为它具有高度的可扩展性,简化了网络拓扑,并通过减少远程用户的差旅时间和成本提高了工作效率。
互联网密钥交换(IKE)是用于在VPN中建立通信安全连接的协议。此安全连接称为安全关联(SA)。 您可以创建IKE策略来定义在此过程中使用的安全参数,例如对等体的身份验证、加密算法等。要使VPN正常运行,两个端点的IKE策略应相同。
本文旨在介绍如何在RV130或RV130W路由器上配置Advanced VPN Setup(高级VPN设置),其中包括IKE Policy设置和VPN Policy设置。
· RV130
· RV130W
•1.0.3.22
步骤1.登录基于Web的实用程序,然后选择VPN > Site-to-Site IPSec VPN > Advanced VPN Setup。
步骤2.(可选)如果要为VPN连接启用网络地址转换(NAT)遍历,请选中NAT遍历中的启用复选框。NAT穿越允许在使用NAT的网关之间建立VPN连接。如果VPN连接通过启用NAT的网关,请选择此选项。
步骤3.在IKE策略表中,单击添加行以创建新的IKE策略。
注意:如果已配置基本设置,则下表将包含已创建的基本VPN设置。您可以通过选中策略的复选框并单击编辑来编辑现有IKE策略。“高级VPN设置”(Advanced VPN Setup)页面将更改:
步骤4.在IKE Name字段中,输入IKE策略的唯一名称。
注意:如果已配置基本设置,则创建的连接名称将设置为IKE名称。在本例中,VPN1是所选的IKE名称。
步骤5.从Exchange Mode下拉列表中,选择一个选项。
Main — 此选项允许IKE策略以比主动模式更高的安全性协商VPN隧道。如果比协商速度优先的是更安全的VPN连接,请单击此选项。
主动 — 此选项允许IKE策略建立比主模式更快但安全性较低的连接。如果比高安全性优先的是更快的VPN连接,请单击此选项。
注意:在本例中,选择Main。
步骤6.从Local Identifier Type(本地标识符类型)下拉列表中选择以标识或指定本地路由器的Internet安全关联和密钥管理协议(ISAKMP)。选项有:
本地广域网IP — 路由器使用本地广域网(WAN)IP作为主标识符。此选项通过Internet连接。选择此选项将显示下面的Local Identifier字段。
IP地址 — 单击此按钮可在本地标识符字段中输入IP地址。
FQDN — 完全限定域名(FQDN)或域名(如http://www.example.com)允许您在“本地标识符”(Local Identifier)字段中输入域名或IP地址。
用户FQDN — 此选项是用户电子邮件地址,例如user@email.com。在Local Identifier字段中输入域名或IP地址。
DER ASN1 DN — 此选项是使用可分辨编码规则抽象语法符号1(DER ASN1)传输信息的可分辨名称(DN)的标识符类型。当VPN隧道与用户证书关联时,会发生这种情况。如果选择此选项,请在本地标识符字段中输入域名或IP地址。
注意:在本例中,选择本地WAN IP。
步骤7.从Remote Identifier Type下拉列表中选择,以标识或指定远程路由器的Internet安全关联和密钥管理协议(ISAKMP)。选项包括远程广域网IP、IP地址、FQDN、用户FQDN和DER ASN1 DN。
注意:在本例中,选择远程WAN IP。
步骤8.从Encryption Algorithm下拉列表中选择一个选项。
DES — 数据加密标准(DES)是一种56位的旧加密方法,它不是一种非常安全的加密方法,但可能是向后兼容所必需的。
3DES — 三重数据加密标准(3DES)是一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。
AES-128 — 高级加密标准,带128位密钥(AES-128),使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128是默认加密算法,比AES-192和AES-256更快但更不安全。
AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。
AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。
注意:在本例中,选择AES-128。
步骤9.从Authentication Algorithm下拉列表中,从以下选项中选择:
MD5 — 消息摘要5(MD5)是使用128位哈希值进行身份验证的身份验证算法。MD5安全性较低,但比SHA-1和SHA2-256快。
SHA-1 — 安全散列函数1(SHA-1)使用160位散列值进行身份验证。SHA-1比MD5慢但更安全。SHA-1是默认身份验证算法,比SHA2-256快但不安全。
SHA2-256 — 安全散列算法2(具有256位哈希值)使用256位哈希值进行身份验证。SHA2-256比MD5和SHA-1慢,但更安全。
注意:在本例中,选择MD5。
步骤10.在Authentication Method下拉列表中,从以下选项中选择:
预共享密钥(Pre-Shared Key) — 此选项需要与IKE对等体共享的密码。
RSA-Signature — 此选项使用证书对连接进行身份验证。如果选择此选项,则禁用预共享密钥字段。跳至步骤12。
注意:在本示例中,选择预共享密钥。
步骤11.在预共享密钥字段中,输入长度介于8到49个字符之间的密码。
注意:在本例中,使用password123。
步骤12.从DH组下拉列表中,选择IKE使用的Diffie-Hellman(DH)组算法。DH组中的主机可以在彼此不知情的情况下交换密钥。组位数越高,安全性越好。
注意:在本例中,选择Group1。
步骤13.在SA-Lifetime字段中,输入VPN的SA在续约SA之前的持续时间(以秒为单位)。超时的范围是从 30 到 86400 秒。默认值为 28800。
第14步。(可选)选中启用失效对等体检测(DPD)复选框以启用失效对等体检测。DPD监控IKE对等体,以查看对等体是否已停止运行或仍处于活动状态。如果检测到对等体为失效,设备将删除IPsec和IKE安全关联。DPD可防止在非活动对等体上浪费网络资源。
注意:如果不想启用Dead Peer Detection,请跳至步骤17。
第15步。(可选)如果在第14步中启用了DPD,请在“DPD延迟”字段中输入对等体检查活动的频率(秒)。
注意:DPD延迟是连续DPD R-U-THE消息之间的间隔(以秒为单位)。DPD R-U-THERE消息仅在IPsec流量空闲时发送。默认值为 10。
第16步。(可选)如果在第14步中启用了DPD,请在DPD超时(DPD Timeout)字段中输入在丢弃非活动对等体之前等待的秒数。
注意:这是设备在考虑对等体失效之前应等待接收对DPD消息的响应的最长时间。默认值为 30。
步骤17.单击保存。
注意:系统将重新显示主Advanced VPN Setup页面。
现在,您应该已在路由器上成功配置IKE策略设置。
注意:要使VPN正常运行,两个端点的VPN策略应相同。
步骤1.在VPN策略表中,单击添加行以创建新的VPN策略。
注意:您还可以通过选中策略的复选框并点击编辑来编辑VPN策略。系统将显示Advanced VPN Setup页面:
步骤2.在Add/Edit VPN Configuration区域下的IPSec Name字段中,输入VPN策略的名称。
注意:在本例中,使用VPN1。
步骤3.从Policy Type下拉列表中,选择一个选项。
手动策略 — 此选项允许您手动配置密钥,以用于VPN隧道的数据加密和完整性。如果选择此选项,则Manual Policy Parameters区域下的配置设置将启用。继续执行这些步骤,直到选择远程流量。单击此处了解步骤。
自动策略 — 策略参数自动设置。此选项使用IKE策略进行数据完整性和加密密钥交换。如果选择此选项,则启用Auto Policy Parameters区域下的配置设置。单击此处了解步骤。确保IKE协议在两个VPN终端之间自动协商。
注意:在本例中,选择自动策略。
步骤4.从Remote Endpoint下拉列表中,选择一个选项。
IP地址(IP Address) — 此选项通过公有IP地址标识远程网络。
FQDN — 特定计算机、主机或Internet的完整域名。FQDN由两部分组成:主机名和域名。只有在步骤3中选择了“自动策略”时,才能启用此选项。
注意:在本例中,选择IP地址。
步骤5.在Remote Endpoint字段中,输入远程地址的公有IP地址或域名。
注意:在本例中,使用192.168.2.101。
步骤6.(可选)如果要启用要通过VPN连接发送的网络基本输入/输出系统(NetBIOS)广播,请选中NetBios Enabled复选框。NetBIOS允许主机在局域网(LAN)内相互通信。
步骤7.从Local Traffic Selection区域下的Local IP下拉列表中,选择一个选项。
单个 — 将策略限制为一台主机。
子网 — 允许IP地址范围内的主机连接到VPN。
注意:在本例中,选择子网。
步骤8.在IP Address字段中,输入本地子网或主机的主机或子网IP地址。
注意:在本例中,使用本地子网IP地址10.10.10.1。
步骤9.(可选)如果在步骤7中选择了子网,请在子网掩码字段中输入客户端的子网掩码。如果在步骤1中选择了Single,则禁用Subnet Mask字段。
注意:在本例中,使用子网掩码255.255.0.0。
步骤10.从Remote Traffic Selection区域下的Remote IP下拉列表中,选择一个选项。
注意: 在本例中,选择子网。
步骤11.在“IP地址”字段中输入将属于VPN的主机的IP地址范围。如果在步骤10中选择了Single,请输入IP地址。
注意:在以下示例中,使用10.10.11.2。
步骤12.(可选)如果在步骤10中选择了子网,请在“子网掩码”字段中输入子网IP地址的子网掩码。
注意:在以下示例中,使用255.255.0.0。
注:只有选择“手动策略”时,才能编辑这些字段。
步骤1.在SPI-Incoming字段中,为VPN连接上的传入流量输入安全参数索引(SPI)标记的三到八个十六进制字符。SPI标记用于区分一个会话的流量与其他会话的流量。
注意:在本例中,使用0xABCD。
步骤2.在SPI-Outgoing字段中,为VPN连接上的传出流量的SPI标记输入三到八个十六进制字符。
注意:在本例中,使用0x1234。
步骤3.从Manual Encryption Algorithm下拉列表中,选择一个选项。选项包括DES、3DES、AES-128、AES-192和AES-256。
注意:在本例中,选择AES-128。
步骤4.在Key-In字段中,输入入站策略的密钥。密钥长度取决于步骤3中选择的算法。
DES使用8个字符的密钥。
3DES使用24个字符的密钥。
AES-128使用16个字符的密钥。
AES-192使用24个字符的密钥。
AES-256使用32个字符的密钥。
注意:在本例中,使用123456789ABCDEFG。
步骤5.在Key-Out字段中,输入传出策略的密钥。密钥长度取决于步骤3中选择的算法。
注意:在本例中,使用123456789ABCDEFG。
步骤6.从Manual Integrity Algorithm下拉列表中,选择一个选项。
MD5 — 使用128位哈希值实现数据完整性。MD5的安全性较低,但比SHA-1和SHA2-256快。
SHA-1 — 使用160位哈希值实现数据完整性。SHA-1比MD5慢但更安全,而SHA-1比SHA2-256快但不安全。
SHA2-256 — 使用256位哈希值实现数据完整性。SHA2-256比MD5和SHA-1慢但安全。
注意:在本例中,选择MD5。
步骤7.在Key-In字段中,输入入站策略的密钥。密钥长度取决于步骤6中选择的算法。
MD5使用16个字符的密钥。
SHA-1使用20个字符的密钥。
SHA2-256使用32个字符的密钥。
注意:在本例中,使用123456789ABCDEFG。
步骤8.在Key-Out字段中,输入传出策略的密钥。密钥长度取决于步骤6中选择的算法。
注意:在本例中,使用123456789ABCDEFG。
注意:在创建自动VPN策略之前,请确保根据要创建的自动VPN策略创建IKE策略。只有在步骤3中选择了“自动策略”,才能编辑这些字段。
步骤1.在“IPSec SA-Lifetime”字段中,输入SA在续约前持续的时间(以秒为单位)。范围为30-86400。默认值为3600。
步骤2.从Encryption Algorithm下拉列表中,选择一个选项。选项有:
注意:在本例中,选择AES-128。
DES — 一种56位的旧加密方法,它不是一种非常安全的加密方法,但可能是向后兼容所必需的。
3DES — 一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。
AES-128 — 使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128比AES-192和AES-256更快,但安全性较低。
AES-192 — 使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。
AES-256 — 使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。
AESGCM — 高级加密标准伽罗瓦计数器模式是通用身份验证的加密块密码模式。GCM身份验证使用的操作非常适合硬件中的高效实施,因此对高速实施或在高效紧凑的电路中实施尤其有吸引力。
AESCCM — 带CBC-MAC模式的高级加密标准计数器是通用身份验证的加密块密码模式。CCM非常适合用于紧凑型软件实施。
步骤3.从Integrity Algorithm下拉列表中,选择一个选项。选项为MD5、SHA-1和SHA2-256。
注意:在本例中,选择SHA-1。
步骤4.选中PFS Key Group中的Enable复选框以启用完全转发保密(PFS)。PFS提高了VPN安全性,但降低了连接速度。
步骤5.(可选)如果您选择在步骤4中启用PFS,请从DH组下拉列表中选择要加入的DH组。组编号越高,安全性越好。
注意:在本例中,选择组1。
步骤6.从Select IKE Policy下拉列表中,选择要用于VPN策略的IKE策略。
注意:在本示例中,仅配置了一个IKE策略,因此只显示一个策略。
步骤7.单击“保存”。
注意:系统将重新显示主Advanced VPN Setup页面。应显示一条确认消息,表明配置设置已成功保存。
步骤8.在VPN Policy表下,选中复选框以选择VPN,然后单击Enable。
注意:默认情况下,已配置的VPN策略处于禁用状态。
步骤9.单击“保存”。
现在,您应该已在RV130或RV130W路由器上成功配置VPN策略。