在RV160和RV260上配置IPsec配置檔案手動金鑰模式

下載選項

  • PDF     (125.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (835.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2019 年 4 月 5 日
文件 ID:1554485461099708

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於翻譯

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

目標

本文檔的目的是向您展示如何在RV160和RV260系列路由器上為手動金鑰模式配置IPsec配置檔案。

簡介

IPsec可確保您通過Internet進行安全的專用通訊。它為通過Internet傳輸敏感資訊提供了兩個或多個主機的隱私、完整性和真實性。IPsec通常用於在IP層實施的虛擬專用網路(VPN),並且可協助許多缺乏安全的應用。VPN用於為通過不安全網路(例如網際網路)傳輸的敏感資料和IP資訊提供安全通訊機制。它為遠端使用者和企業提供靈活的解決方案,以保護來自同一網路上其他方的任何敏感資訊。

手動鍵控模式降低了IPsec的靈活性和選項。它要求使用者向正在配置的每台裝置提供金鑰資料和必要的安全關聯資訊。手動鍵控不能很好地擴展,因為它通常最適合在小型環境中使用。

僅在此路由器上實施Internet金鑰交換(IKE)v1或IKEv2與您的遠端路由器不同或其中一台路由器不支援IKE時,建議使用此方法。在這種情況下,您可以手動輸入金鑰。如果您的路由器支援IKEv1或IKEv2並且遵循相同的標準,則建議為IPsec配置檔案配置自動金鑰模式,而不是手動金鑰模式。

使用手動鍵控模式時,請確保本地路由器上的Key In是遠端路由器上的Key Out,而遠端路由器上的Key In是本地路由器上的Key Out

兩台路由器的配置示例為:

欄位 路由器A 路由器B
SPI傳入 100 100
SPI傳出 100 100
加密 AES-256 AES-256
Key-In ...91bb2b489ba0d28c7741b ...858b8c5ec355505650b16
Key-Out ...858b8c5ec355505650b16 ...91bb2b489ba0d28c7741b
驗證 SHA2-256 SHA2-256
Key-In ...A00997ec3a195061c81e4 ...2f2de681af020b9ad5f3e3
Key-Out ...2f2de681af020b9ad5f3e3 ...A00997ec3a195061c81e4

可以在以下連結中找到有關Cisco IPsec技術的更多資訊:Cisco IPSec技術簡介

要瞭解如何在RV160和RV260上使用自動金鑰模式配置IPsec配置檔案,請按一下此處

要瞭解如何在RV160和RV260上配置站點到站點VPN,請按一下此處

要使用安裝嚮導配置站點到站點VPN,請參閱以下文章:在RV160和RV260上配置VPN設定嚮導

適用裝置

· RV160

· RV260

軟體版本

·1.0.00.15

使用手動金鑰模式配置IPsec配置檔案

步驟1.登入到Web配置實用程式。

步驟2.導覽至VPN > IPSec VPN > IPSec Profiles

步驟3.按plus圖示建立新的IPsec配置檔案。

步驟4.在「配置檔名稱」欄位中輸入配置檔案名稱。

步驟5.選擇Manual作為Keying Mode

步驟6.在IPSec配置部分,輸入安全引數索引(SPI)傳入和SPI傳出。SPI是在使用IPsec對IP流量進行隧道傳輸時新增到報頭的標識標籤。此標籤有助於核心在可能使用不同加密規則和演算法的兩個資料流之間辨別。十六進位制範圍為100-FFFFFFFF。

我們將對SPI傳入和傳出使用預設值100

步驟7.從下拉選單中選擇加密(3DES、AES-128、AES-192AES-256)。此方法確定用於加密或解密ESP/ISAKMP資料包的演算法。三重資料加密標準(3DES)使用DES加密三次,但現在是舊式演算法。這意味著,只有在沒有更好的替代方法時,才應使用它,因為它仍提供微不足道但可以接受的安全水準。使用者應僅在需要向後相容性時才使用它,因為它容易受到某些「塊衝突」攻擊。建議不要使用3DES,因為它被認為不安全。

進階加密標準(AES)是一種設計為比3DES更安全的加密演演算法。AES使用較大的金鑰大小,確保唯一已知解密消息的方法是讓入侵者嘗試所有可能的金鑰。如果您的裝置可以支援,建議使用AES。

在本例中,我們將使用AES-256作為加密。

步驟8.在Key In字段中輸入64個字元的十六進位制數字。這是解密以十六進位制格式接收的ESP資料包的金鑰。

最佳實踐:使用隨機十六進位制發生器配置您的金鑰輸入和金鑰輸出。確保遠端路由器具有相同的十六進位制數。

步驟9.在Key Out段中輸入64個字元的十六進位制數字。這是以十六進位制格式加密純資料包的金鑰。

步驟10.驗證方法確定ESP報頭資料包的驗證方式。這是身份驗證中使用的雜湊演算法,用於驗證端A和端B確實是它們所說的。

MD5是產生128位摘要的單向雜湊演算法,比SHA1快。 SHA1是產生160位摘要的單向雜湊演算法,而SHA2-256產生256位摘要。建議使用SHA2-256,因為它更安全。確保VPN隧道的兩端使用相同的身份驗證方法。選擇驗證(MD5、SHA1或SHA2-256)。

在本例中,我們將選擇SHA2-256

步驟11.在Key In欄位中輸入64個字元的十六進位制數字。這是解密以十六進位制格式接收的ESP資料包的金鑰。

步驟12.在Key Out欄位中輸入64個字元的十六進位制數字。這是以十六進位制格式加密純資料包的金鑰。

步驟13.按Apply建立新的IPsec配置檔案。

步驟14.在頁面頂部,按一下Save按鈕。您將導覽至Configuration Management頁面。

步驟15.路由器當前使用的所有配置均位於運行配置檔案中。如果裝置斷電或重新啟動,配置將會丟失。將運行配置檔案複製到啟動配置檔案可確保儲存配置。在「配置管理」下,確保運行配置,而目標是啟動配置按一下「Apply」。

結論

現在,您應該已經在RV160或RV260上使用手動金鑰模式成功配置了IPsec配置檔案。

這份文件是否有所幫助?

Feedback意見

讓思科協助您