IKEv1-innstillinger for en IPsec-mal

Alternativ Beskrivelse
Template Name (Malnavn) Skriv inn et navn for malen (opptil 16 tegn).
Use Prefixed Template (Bruk prefiksert mal) Velg Custom (Egendefinert), IKEv1 High Security (IKEv1 høy sikkerhet) eller IKEv1 Medium Security (IKEv1 middels sikkerhet). Innstillingselementene er forskjellig avhengig av den valgte malen.
image
Standardmalen er forskjellig avhengig av om du velger Main (Hoved) eller Aggressive (Aggressiv) for Negotiation Mode (Forhandlingsmodus)IPsec-konfigurasjonsskjermen.
Internet Key Exchange (IKE)

IKE er en kommunikasjonsprotokoll som brukes til å utveksle krypteringsnøkler slik at kryptert kommunikasjon kan gjøres ved hjelp av IPsec. For å utføre kryptert kommunikasjon for bare den ene gangen, bestemmes krypteringsalgoritmen som er nødvendig for IPsec og krypteringsnøklene deles. For IKE, utveksles krypteringsnøklene med Diffie-Hellman-nøkkelutvekslingsmetoden, og kryptert kommunikasjon som er begrenset til IKE utføres.

Hvis du valgte Custom (Egendefinert) i Use Prefixed Template (Bruk prefiksert mal), velg IKEv1.

Authentication Type (Pålitelighetskontrolltype)
  • Diffie-Hellman Group (Diffie-Hellman-gruppe)

    Denne nøkkelutvekslingsmetoden gjør at hemmelige nøkler kan utveksles over et ubeskyttet nettverk på en sikker måte. Diffie-Hellman-nøkkelutvekslingsmetoden bruker et avgrenset logaritmeproblem, ikke den hemmelige nøkkelen, til å sende og motta åpen informasjon som ble generert med et vilkårlig nummer og den hemmelige nøkkelen.

    Velg Group1 (Gruppe1), Group2 (Gruppe2), Group5 (Gruppe5) eller Group14 (Gruppe14).

  • Encryption (Kryptering)
    Velg DES, 3DES, AES-CBC 128 eller AES-CBC 256.
  • Hash
    Velg MD5, SHA1, SHA256, SHA384 eller SHA512.
  • SA Lifetime (SA-levetid)

    Angi IKE SA-levetiden.

    Skriv inn tiden (i sekunder) og antall kilobyte (kB).

Encapsulating Security (Innkapslende sikkerhet)
  • Protocol (Protokoll)
    Velg ESP, AH eller AH+ESP.
    image
    • ESP er en protokoll for kryptert kommunikasjon med IPsec. ESP krypterer det kommuniserte innholdet og legger til ekstra informasjon. IP-pakken består av toppteksten og det krypterte innholdet, som følger toppteksten. I tillegg til kryptert data, inkluderer IP-pakken også informasjon om krypteringsmetoden og krypteringsnøkkelen, pålitelighetskontrolldata, osv.
    • AH er en del av IPsec-protokollen som godkjenner senderen og forhindrer endring (sikrer at dataen er fullstendig). Dataen settes inn rett etter toppteksten i IP-pakken. I tillegg inneholder pakkene nummerverdier, som er kalkulert med en ligning fra det kommuniserte innholdet, den hemmelige nøkkelen, osv., for å forhindre forfalskning av senderen og endring av dataene. Til forskjell fra ESP, krypteres ikke det kommuniserte innholdet, og dataen sendes og mottas som vanlig tekst.
  • Encryption (Kryptering)
    Velg DES, 3DES, AES-CBC 128 eller AES-CBC 256.
  • Hash
    Velg None (Ingen), MD5, SHA1, SHA256, SHA384 eller SHA512.
  • SA Lifetime (SA-levetid)

    Spesifiser IKE SA-levetiden.

    Skriv inn tiden (i sekunder) og antall kilobyte (KByte).

  • Encapsulation Mode (Innkapslingsmodus)
    Velg Transport eller Tunnel.
  • Remote Router IP-Address (IP-adresse til ekstern ruter)

    Skriv inn IP-adressen (IPv4 eller IPv6) til den eksterne ruteren. Skriv bare inn denne informasjonen når Tunnel-modusen er valgt.

    image
    SA (Security Association) er en kryptert kommunikasjonsmetode som bruker IPsec eller IPv6 som utveksler og deler informasjon, som krypteringsmetoden og krypteringsnøkkelen, for å kunne etablere en sikker kommunikasjonskanal før kommunikasjonen starter. SA kan også henvise til en virtuell kryptert kommunikasjonskanal som har blitt etablert. SA som brukes for IPsec etablerer krypteringsmetoden, utveksler nøklene og utfører felles pålitelighetskontroll i henhold til IKE-standardprosedyren (Internet Key Exchange). SA oppdateres også periodisk.
Perfect Forward Secrecy (PFS)

PFS henter ikke ut nøkler fra tidligere nøkler som ble brukt til å kryptere meldinger. I tillegg, hvis en nøkkel som brukes til å kryptere en melding ble hentet ut fra en foreldrenøkkel, brukes ikke den foreldrenøkkelen til å hente ut andre nøkler. Selv om en nøkkel er satt på spill, er skaden derfor begrenset til meldingene som ble kryptert med den nøkkelen.

Velg Enabled (Aktivert) eller Disabled (Deaktivert).

Authentication Method (Pålitelighetskontrollmetode)

Velg pålitelighetskontrollmetoden. Velg Pre-Shared Key (Forhåndsdelt nøkkel) eller Certificates (Sertifikater).

Pre-Shared Key (Forhåndsdelt nøkkel)

Ved kryptering av kommunikasjon, utveksles krypteringsnøkkelen og deles på forhånd med en annen kanal.

Hvis du valgte Pre-Shared Key (Forhåndsdelt nøkkel) for Authentication Method (Pålitelighetskontrollmetode), skriv inn Pre-Shared Key (Forhåndsdelt nøkkel) (opptil 32 tegn).

  • Local/ID Type/ID (Lokal/ID-type/ID)

    Velg senderens ID-type, og skriv deretter inn ID-en.

    Velg IPv4 Address (IPv4-adresse), IPv6 Address (IPv6-adresse), FQDN, E-mail Address (E-postadresse) eller Certificate (Sertifikat) som typen.

    Hvis du velger Certificate (Sertifikat), skriver du inn fellesnavnet til sertifikatet i ID-feltet.

  • Remote/ID Type/ID (Ekstern/ID-type/ID)

    Velg mottakerens ID-type, og skriv deretter inn ID-en.

    Velg IPv4 Address (IPv4-adresse), IPv6 Address (IPv6-adresse), FQDN, E-mail Address (E-postadresse) eller Certificate (Sertifikat) som typen.

    Hvis du velger Certificate (Sertifikat), skriver du inn fellesnavnet til sertifikatet i ID-feltet.

Certificate (Sertifikat) Hvis du valgte Certificates (Sertifikater) for Authentication Method (Pålitelighetskontrollmetode), velger du sertifikatet.
image

Du kan bare velge sertifikatene som ble opprettet med Certificate (Sertifikat)-siden til sikkerhetskonfigurasjonsskjermen for Internett-basert styring.

Var denne siden til hjelp?

Ja

Nei