了解思科
购买方式

已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

为 RV016、RV042、RV042G 和 RV082 VPN 路由器上的 VPN 客户端设置远程访问隧道(客户端到网关)

下载选项

  • PDF     (3.5 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (3.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 10 日
文档 ID:SMB624

非歧视性语言

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

本文介绍如何借助第三方 VPN 客户端软件(如 Green Bow 或 VPN Tracker)配置从客户端到 RV016、RV042、RV042G 和 RV082 VPN 路由器网关的远程访问虚拟专用网 (VPN) 隧道。

简介

VPN 是一种专用网络,用于通过公共网络虚拟连接远程用户的设备,以提供安全性。远程访问隧道 VPN 是用于配置客户端计算机和网络之间 VPN 的过程。通过 VPN 客户端软件在用户的台式机或笔记本电脑中配置客户端。它为用户提供与网络的远程安全连接。客户端到网关 VPN 连接有助于远程员工通过远程、安全的方式连接到办公室网络。

适用设备

  • RV016
  • RV042
  • RV042G
  • RV082

软件版本

  • v4.2.2.08

配置 VPN 隧道

第 1 步: 登录到 Web 配置实用程序,然后选择 VPN > Client to Gateway(客户端到网关)。系统将打开 Client to Gateway(客户端到网关)页面:

添加新隧道

第 1 步: 根据要添加的隧道类型,点击相应的单选按钮。

  • 隧道 - 表示单个远程用户的隧道。
  • 组 VPN - 表示远程用户组的隧道。

隧道编号是自动生成的字段,显示隧道的编号。

 

第 2 步: 在“Tunnel Name”(隧道名称)字段中输入隧道的名称。

第 3 步: 从“Interface”(接口)下拉列表中选择要用于 VPN 隧道的相应 WAN 接口。

第 4 步: (可选)要启用 VPN,请选中“Enable”(启用)字段中的复选框。默认情况下,始终选中该复选框。

本地组设置

第 1 步: 从 Local Security Gateway(本地安全网关)下拉列表中选择适当的路由器识别方法,以建立 VPN 隧道。 如果在 Add A New Tunnel(添加新隧道)部分的第 1 步中选择了“Group VPN”(组 VPN),请跳过此步骤。

  • 仅 IP - 可以通过静态 WAN IP 地址访问隧道。仅当路由器具有静态 WAN IP 时,才可选择此选项。静态 WAN IP 地址会自动显示。
  • IP + 域名 (FQDN) 身份验证 - 可以通过静态 IP 地址和所注册的完全限定域名 (FQDN) 域可以隧道。静态 WAN IP 地址是自动生成的字段。
  • IP + 邮件地址(用户 FQDN)身份验证 - 可以通过静态 IP 地址和邮件地址访问隧道。静态 WAN IP 地址是自动生成的字段。
  • 动态 IP + 域名 (FQDN) 身份验证 - 可以通过动态 IP 地址和注册域访问隧道。 
  • 动态 IP + 邮件地址(用户 FQDN)身份验证 - 可以通过动态 IP 地址和邮件地址访问隧道。 

第 2 步: 如果在第 1 步中选择 IP + Domain Name (FQDN) Authentication(IP + 域名 [FQDN] 身份验证)或 Dynamic IP + Domain Name (FQDN) Authentication(动态 IP + 域名 [FQDN] 身份验证),请在“Domain Name”(域名)字段中输入所注册的完全限定域名称。

第 3 步: 如果在第 1 步中选择 IP + E-mail Address(USER FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证)或 Dynamic IP + E-mail Address(USER FQDN) Authentication(动态 IP + 邮件地址 [用户 FQDN] 身份验证),请在“Email Address”(邮件地址)字段中输入邮件地址。

第 4 步: 从 Local Security Group(本地安全组)下拉列表中选择可以访问 VPN 隧道的相应本地 LAN 用户或用户组。默认为子网。

  • IP — 只有一个特定LAN设备可以访问隧道。如果选择此选项,请在“IP Address”(IP 地址)字段中输入 LAN 设备的 IP 地址。默认 IP 地址为 192.168.1.0。
  • 子网 - 特定子网上的所有 LAN 设备都可以访问隧道。如果选择此选项,请分别在“IP Address”(IP 地址)和“Subnet Mask”(子网掩码)字段中输入 LAN 设备的 IP 地址和子网掩码。默认掩码为 255.255.255.0。
  • IP 范围 - 一些 LAN 设备可以访问隧道。如果选择此选项,请分别在“Begin IP”(起始 IP)和“End IP”(结束 IP)字段中输入起始和结束 IP 地址。默认范围为 192.168.1.0 到 192.168.1.254。

第 5 步: 点击 Save(保存),以保存设置。

远程客户端设置

步骤1.如果选择Tunnel,请从Remote Security Gateway Type下拉列表中选择适当的客户端标识方法来建立VPN隧道。默认值为“仅IP”。如果选择了“添加新隧道”部分的步骤1中的“组VPN”,请跳过此步骤。

  • 仅 IP - 仅通过客户端的静态 WAN IP 即可访问隧道。您必须知道客户端的静态 WAN IP 才能使用此选项。 
  • IP + 域名 (FQDN) 身份验证 - 可以通过客户端的静态 IP 地址和注册域访问隧道。 
  • IP + 邮件地址(用户 FQDN)身份验证 - 可以通过客户端的静态 IP 地址和邮件地址访问隧道。 
  • 动态 IP + 域名 (FQDN) 身份验证 - 可以通过客户端的动态 IP 地址和注册域访问隧道。 
  • 动态 IP + 邮件地址(用户 FQDN)身份验证 - 可以通过客户端的动态 IP 地址和邮件地址访问隧道。 

第 2 步: 如果在第 1 步中选择 IP Only(仅 IP)、IP + Domain Name (FQDN)(IP + 域名 [FQDN])或 IP + E-mail Address (User FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证),请在 IP Address(IP 地址)字段中输入远程客户端的 IP 地址。

第 3 步: 如果在第 1 步中选择 IP Only(仅 IP)或 IP + Domain Name (FQDN) Authentication(IP + 域名 [FQDN] 身份验证)或 IP + E-mail Address(USER FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证),则请从下拉列表中选择适当的选项,以输入 IP 地址(若您知道 IP 地址)或从 DNS 服务器解析 IP 地址。

  • IP 地址 - 表示远程客户端的静态 IP 地址。在该字段中输入静态 IP 地址。
  • 通过 DNS 解析的 IP - 表示 IP 地址的域名,如果您不知道远程客户端的静态 IP 地址,则该域名将通过本地 DNS 服务器自动检索 IP 地址。在该字段中输入 IP 地址的域名。

第 4 步: 如果在第 1 步中选择 IP + Domain Name (FQDN) Authentication(IP + 域名 [FQDN] 身份验证)或 Dynamic IP+ Domain Name (FQDN) Authentication(动态 IP + 域名 [FQDN] 身份验证),请在“Domain name”(域名)字段中输入 IP 地址的域名。

第 5 步: 如果在第 1 步中选择 IP + E-mail Address(USER FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证)或 Dynamic IP + E-mail Address(USER FQDN) Authentication(动态 IP + 邮件地址 [用户 FQDN] 身份验证),请在“Email Address”(邮件地址)字段中输入邮件地址。

步骤6.如果选择组,请从远程客户端下拉列表中选择适当的远程客户端类型。如果选择了“添加新隧道”部分的步骤1中的隧道VPN。

  • 域名 (FQDN) - 可以通过注册域访问隧道。如果选择此选项,请在“Domain Name”(域名)字段中输入注册域的名称。
  • 电子邮件地址(用户FQDN) — 可以通过客户端的电子邮件地址访问隧道。如果选择此选项,请在“Email Address”(邮件地址)字段中输入邮件地址。
  • Microsoft XP/2000 VPN 客户端 - 可以通过 Microsoft XP 或 Microsoft 2000 windows 软件访问隧道。使用 Microsoft VPN 客户端软件的远程用户可以通过该软件访问隧道。

第 7 步: 点击 Save(保存),以保存设置。

IPSec 设置选项

互联网协议安全(IPSec)是一种互联网层安全协议,其在任何通信会话期间通过身份验证和加密提供端到端安全。

注意:VPN的两端需要使用相同的加密、解密和身份验证方法,IPSec才能正常工作。此外,隧道两端的完全向前保密密钥也必须相同。

第 1 步: 从 Keying Mode(密钥模式)下拉列表中选择适当的密钥管理模式,以确保安全。默认模式为 IKE with Preshared key(带预共享密钥的 IKE)

  • 手动 - 一种自定义安全模式,可以自行生成新的安全密钥,而无需与密钥进行协商。最好在故障排除和小型静态环境中使用。如果在“Add A New Tunnel”(添加新隧道)部分的第 1 步中选择了“Group VPN”(组 VPN),则此选项处于禁用状态。
  • 带预共享密钥的 IKE - 互联网密钥交换 (IKE) 协议用于自动生成和交换预共享密钥,以建立隧道的身份验证通信。 

手动密钥模式配置

第 1 步: 在 Incoming SPI(传入 SPI)字段中,输入传入安全参数索引 (SPI) 的唯一十六进制值。SPI 包含封装安全负载协议 (ESP) 报头中,它们共同确定对传入数据包的保护方式。您可以输入 100 到 ffffffff。本地路由器的传入 SPI 需要与远程路由器的传出 SPI 匹配。

第 2 步: 在 Outgoing SPI(传出 SPI) 字段中输入传出安全参数索引 (SPI) 的唯一十六进制值。SPI在封装安全负载协议(ESP)报头中传输,ESP报头共同确定对传出数据包的保护。您可以输入100到ffffffff。远程路由器的传出 SPI 需要与本地路由器的传入 SPI 匹配。

第 3 步: 从 Encryption(加密)下拉列表中选择适当的加密方法。建议的加密是3DES。VPN隧道需要对两端使用相同的加密方法。

  • DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES 已过时,仅当一个终端仅支持 DES 时,才应使用此方法。
  • 3DES — 三重数据加密标准(3DES)是168位的简单加密方法。3DES 对数据进行三次加密,可提供比 DES 更高的安全性 。

第 4 步: 从 Authentication(身份验证)下拉列表中选择适当的数据身份验证方法。建议的身份验证是SHA1,因为它比MD5更安全。VPN隧道需要对两端使用相同的身份验证方法。

  • MD5 — 消息摘要算法5(MD5)表示32位十六进制哈希函数,通过校验和计算保护数据免受恶意攻击。
  • SHA1 — 安全散列算法版本1(SHA1)是160位散列函数,比MD5更安全,但计算时间更长。

第 5 步: 在 Encryption Key(加密密钥)字段中输入密钥,以加密和解密数据。如果您在第 3 步中选择 DES 作为加密方法,请输入 16 位十六进制值。如果您在第 3 步中选择 3DES 作为加密方法,请输入 40 位十六进制值。

步骤6.在“身份验证密钥”字段中输入预共享密钥以对流量进行身份验证。如果在步骤4中选择MD5作为身份验证方法,请输入32位十六进制值。如果您在第 4 步中选择 SHA 作为身份验证方法,请输入 40 位十六进制值。VPN 隧道的两端需要使用相同的预共享密钥。

第 7 步: 点击 Save(保存),以保存设置。

带预共享密钥的 IKE 模式配置

第 1 步: 从 Phase 1 DH Group(第 1 阶段 DH 组) 下拉列表中选择适当的第 1 阶段 DH 组。第 1 阶段用于在隧道两端之间建立单工逻辑安全关联 (SA),以支持安全的身份验证通信。Diffie-hellman (DH) 是一种加密密钥交换协议,用于在第 1 阶段确定密钥强度并共享密钥以验证通信。 

  • 第 1 组 - 768 位 - 最低强度的密钥和最不安全的身份验证组。但是,它需要更少的时间来计算 IKE 密钥。如果网络速度较慢,则首选此选项。
  • 第 2 组 - 1024 位 - 较高强度的密钥和更安全的身份验证组。但是,它需要一些时间来计算 IKE 密钥。 
  • 第 5 组 - 1536 位 - 表示最高强度的密钥和最安全的身份验证组。它需要更多时间来计算 IKE 密钥。如果网络速度较快,则首选此选项。

 

第 2 步:从 Phase 1 Encryption(第 1 阶段加密)下拉列表中选择适当的第 1 阶段加密来加密密钥。推荐使用 3DES,因为它是最安全的加密方法。VPN 隧道的两端需要使用相同的加密方法。

  • DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES 已过时,仅当一个终端仅支持 DES 时,才应使用此方法。
  • 3DES — 三重数据加密标准(3DES)是168位的简单加密方法。3DES 对数据进行三次加密,可提供比 DES 更高的安全性 。
  • AES-128 — 高级加密标准(AES)是128位加密方法,通过10次循环重复将纯文本转换为密文。
  • AES-192 — 高级加密标准(AES)是192位加密方法,通过12次循环重复将纯文本转换为密文。AES-192 比 AES-128 更安全。
  • AES-256 — 高级加密标准(AES)是256位加密方法,通过14次循环重复将纯文本转换为密文。AES-256 是最安全的加密方法。

步骤3.从第1阶段身份验证下拉列表中选择适当的第1阶段身份验证方法。VPN隧道需要对两端使用相同的身份验证方法。

  • MD5 — 消息摘要算法5(MD5)表示32位十六进制哈希函数,通过校验和计算保护数据免受恶意攻击。
  • SHA1 — 安全散列算法版本1(SHA1)是160位散列函数,比MD5更安全,但计算时间更长。

第 4 步: 在 Phase 1 SA Life Time(第 1 阶段 SA 生存时间)字段中,输入第 1 阶段密钥有效且 VPN 隧道保持活动状态的时间(以秒为单位)。

步骤5.选中Perfect Forward Secrecy复选框,以对密钥提供更多保护。如果任何密钥被盗取,此选项允许路由器生成新密钥。加密的数据只会通过被盗取的密钥泄露。因此,它可提供更安全的通信并对其进行身份验证,其原因在于即使一个密钥被盗取,它也能保护其他密钥。推荐采取此操作,因为它可以提供更高的安全性。

第 6 步:从 Phase 2 DH Group(第 2 阶段 DH 组)下拉列表中选择适当的第 2 阶段 DH 组。第 2 阶段使用安全关联,用于在数据包通过两个终端时确定数据包的安全性。

  • 第 1 组 - 768 位 - 表示最低强度的密钥和最不安全的身份验证组。但是,它需要更少的时间来计算 IKE 密钥。如果网络速度较慢,则首选此选项。
  • 第 2 组 - 1024 位 - 表示较高强度的密钥和更安全的身份验证组。但是,它需要一些时间来计算 IKE 密钥。 
  • 第 5 组 - 1536 位 - 表示最高强度的密钥和最安全的身份验证组。它需要更多时间来计算 IKE 密钥。如果网络速度较快,则首选此选项。

    • 第 7 步: 从 Phase 2 Encryption(第 2 阶段加密)下拉列表中选择适当的第 2 阶段加密来加密密钥。推荐使用 AES-256,因为它是最安全的加密方法。VPN 隧道的两端需要使用相同的加密方法。

    • DES — 数据加密标准(DES)使用56位密钥大小进行数据加密。DES 已过时,仅当一个终端仅支持 DES 时,才应使用此方法。
    • 3DES — 三重数据加密标准(3DES)是168位的简单加密方法。3DES 对数据进行三次加密,可提供比 DES 更高的安全性 。
    • AES-128 — 高级加密标准(AES)是128位加密方法,通过10次循环重复将纯文本转换为密文。
    • AES-192 — 高级加密标准(AES)是192位加密方法,通过12次循环重复将纯文本转换为密文。AES-192 比 AES-128 更安全。
    • AES-256 — 高级加密标准(AES)是256位加密方法,通过14次循环重复将纯文本转换为密文。AES-256 是最安全的加密方法。

    步骤8.从第2阶段身份验证下拉列表中选择适当的身份验证方法。VPN隧道需要对两端使用相同的身份验证方法。

    • MD5 — 消息摘要算法5(MD5)表示32位十六进制哈希函数,通过校验和计算保护数据免受恶意攻击。
    • SHA1 — 安全散列算法版本1(SHA1)是160位散列函数,比MD5更安全,但计算时间更长。
    • 空值 - 不使用任何验证方法。

    第 9 步: 在 Phase 2 SA Life Time(第 2 阶段 SA 生存时间)字段中,输入第 2 阶段密钥有效且 VPN 隧道保持活动状态的时间(以秒为单位)。

    第 10 步: 在 Preshared Key(预共享密钥)字段中输入之前在 IKE 对等体之间共享的密钥,以对对等体进行身份验证。最多可以使用 30 个十六进制字符作为预共享密钥。VPN 隧道的两端需要使用相同的预共享密钥。

    注意:强烈建议经常更改 IKE 对等体之间的预共享密钥,以便 VPN 保持安全。 

    步骤11.如果要启用预共享密钥的强度计,请选中Minimum Preshared Key Complexity复选框。它用于通过颜色条确定预共享密钥的强度。

    注意:预共享密钥强度计通过颜色条显示预共享密钥的强度。红色表示强度弱,黄色表示强度可接受,绿色表示强度高。

    步骤12.单击“保存”以保存设置。

    带预共享密钥的高级 IKE 模式配置

    第 1 步: 点击 Advanced(高级),以显示带预共享密钥的 IKE 的高级设置。 

    步骤2.如果网络速度低,请选中Aggressive Mode复选框。这将在 SA 连接期间以明文形式交换隧道终端的 ID(第 1 阶段),这需要较少的交换时间,但安全性较低。

    注意:积极模式不适用组客户端到网关 VPN 的连接。

    步骤3.如果要压缩IP数据报的大小,请选中Compress(Support IP Payload Compression Protocol(IPComp))复选框。IPComp 是一种 IP 压缩协议,用于压缩 IP 数据报的大小。如果网络速度较慢,并且用户希望通过慢速网络快速传输数据而不会造成任何损失,则 IP 压缩非常有用,但它无法提供任何安全性。

    步骤4.如果始终希望VPN隧道的连接保持活动状态,请选中Keep-Alive复选框。如果任何连接变为非活动状态,Keep Alive 有助于立即重新建立连接。

     

    步骤5.如果要启用Authenticate Header(AH),请选中AH Hash Algorithm复选框。AH 通过校验和提供源数据和数据完整性的身份验证,并为 IP 报头提供保护。隧道的两端应使用相同的算法。

    • MD5 — 消息摘要算法5(MD5)表示128位十六进制哈希函数,通过校验和计算保护数据免受恶意攻击。
    • SHA1 — 安全散列算法版本1(SHA1)是160位散列函数,比MD5更安全,但计算时间更长。

    步骤6.如果要允许不可路由的流量通过VPN隧道,请选中NetBIOS广播。默认情况下为未选中状态。NetBIOS 用于通过一些软件应用和网上邻居等 Windows 功能来检测网络中的网络资源,例如打印机、计算机等。 

    步骤7.如果要通过公有IP地址从私有LAN访问Internet,请选中NAT Traversal复选框。如果 VPN 路由器在 NAT 网关之后,请选中此复选框以启用 NAT 遍历。隧道的两端必须具有相同的设置。

    步骤8.选中Dead Peer Detection Interval以定期检查通过Hello或ACK的VPN隧道的活动性。如果选中此复选框,请输入 Hello 消息的所需持续时间或间隔。

    注意:只能为单个客户端到网关 VPN 连接配置失效对等体检测间隔,不能为组客户端到网关 VPN 连接配置该间隔。

    第 9 步: 点击 Save(保存),以保存设置。

    现在,您已经了解如何在 RV016、RV042、RV042G 和 RV082 VPN 路由器上配置从客户端到网关的远程访问 VPN 隧道。

    此文档是否有帮助?

    Feedback反馈

    联系我们