IKEv2-inställningar för en IPsec-mall

Alternativ Beskrivning
Template Name (Mallnamn) Skriv in ett namn för mallen (upp till 16 tecken).
Use Prefixed Template (Använd mall med prefix) Välj Custom (Anpassa), IKEv2 High Security (IKEv2, hög säkerhet) eller IKEv2 Medium Security (IKEv2, medelhög säkerhet). Inställningsalternativen skiljer sig åt beroende på vald mall.
Internet Key Exchange (IKE)

IKE är ett kommunikationsprotokoll som används för att byta krypteringsnycklar för krypterad kommunikation med hjälp av IPsec. För att använda krypterad kommunikation för endast en enstaka gång, avgörs krypteringsalgoritmen som behövs för IPsec och krypteringsnycklarna delas ut. För IKE byter man krypteringsnycklar med bytesmetoden Diffie-Hellman och krypterad kommunikation som begränsas till IKE används.

Om du valde Custom (Anpassa) för Use Prefixed Template (Använd mall med prefix), väljer du IKEv2.
Authentication Type (Autentiseringstyp)
  • Diffie-Hellman Group (Diffie-Hellman-grupp)

    Denna nyckelöverföringsmetod gör att hemliga nycklar kan överföras på ett säkert sätt via ett oskyddat nätverk. Nyckelöverföringsmetoden Diffie-Hellman använder en diskret logaritm, inte en hemlig nyckel, för att skicka och ta emot öppen information som genererades med ett slumpmässigt nummer och en hemlig nyckel.

    Välj Group1 (Grupp1), Group2 (Grupp2), Group5 (Grupp5) eller Group14 (Grupp14).

  • Encryption (Kryptering)
    Välj DES, 3DES, AES-CBC 128 eller AES-CBC 256.
  • Hash
    Välj MD5, SHA1, SHA256, SHA384 eller SHA512.
  • SA Lifetime (Livslängd för SA)

    Ange livstid för IKE SA.

    Ange tiden (sekunder) och antalet kilobyte (KByte).

Encapsulating Security (Inkapsling av säkerhet)
  • Protocol (Protokoll)
    Välj ESP.
    image
    ESP är ett protokoll för krypterad kommunikation med hjälp av IPsec. ESP krypterar nyttolasten (kommunicerat innehåll) och lägger till ytterligare information. IP-paketet består av rubriken och det krypterade innehållet, vilket följer efter rubriken. IP-paketet innehåller, förutom den krypterade informationen, också information gällande krypteringsmetod och krypteringsnyckel, autentisering och så vidare.
  • Encryption (Kryptering)
    Välj DES, 3DES, AES-CBC 128 eller AES-CBC 256.
  • Hash
    Välj MD5, SHA1, SHA256, SHA384 eller SHA512.
  • SA Lifetime (Livslängd för SA)

    Ange livslängden för IKE SA.

    Ange tiden (sekunder) och antalet kilobyte (KB).

  • Encapsulation Mode (Inkapslingsläge)
    Välj Transport eller Tunnel.
  • Remote Router IP-Address (IP-adress för fjärrouter)

    Ange IP-adressen (IPv4 eller IPv6) för fjärroutern. Ange endast denna information när du valt läget Tunnel.

    image
    SA (Security Association) är en krypterad kommunikationsmetod som använder IPsec eller IPv6 som överför och delar information, som t.ex. krypteringsmetod och krypteringsnyckel, för att kunna upprätta en säker kommunikationskanal innan kommunikationen påbörjas. SA kan också hänvisa till en virtuell, krypterad kommunikationskanal som har upprättats. SA som används för IPsec upprättar krypteringsmetod, överför nycklar och utför gemensam autentisering i enlighet med standardförfarandet IKE (Internet Key Exchange). SA uppdateras dessutom regelbundet.
Perfect Forward Secrecy (PFS)

PFS erhåller inte nycklar från tidigare nycklar som användes för att kryptera meddelanden. Om en nyckel som användes för att kryptera ett meddelande erhålls från en modernyckel, används inte den modernyckel för att erhålla andra nycklar. Därför begränsas endast skadorna till de meddelanden som krypterades med nyckeln även om en nyckel komprometterats.

Välj Enabled (Aktiverad) eller Disabled (Inaktiverad).

Authentication Method (Autentiseringsmetod)

Välj autentiseringsmetoden. Välj Pre-Shared Key (I förväg delad nyckel), Certificates (Certifikat), EAP - MD5 eller EAP - MS-CHAPv2.

image

EAP är ett autentiseringsprotokoll som är ett tillägg till PPP. Genom att använda EAP tillsammans med IEEE802.1x, används en annan nyckel för användarautentisering och vid varje session.

Följande inställningar är endast nödvändiga när du väljer EAP - MD5 eller EAP - MS-CHAPv2 för Authentication Method (Autentiseringsmetod):

  • Mode (Läge)

    Välj Server-Mode (Serverläge) eller Client-Mode (Kundläge).

  • Certificate (Certifikat)

    Välj certifikat.

  • User Name (Användarnamn)

    Ange användarnamn (upp till 32 tecken).

  • Password (Lösenord)

    Ange lösenord (upp till 32 tecken). Lösenordet måste anges två gånger för att bekräfta.

Pre-Shared Key (I förväg delad nyckel)

Krypteringsnyckeln överförs och delas i förväg via en annan kanal vid kryptering av kommunikation.

Om du valde Pre-Shared Key (I förväg delad nyckel) för Authentication Method (Autentiseringsmetod), anger du Pre-Shared Key (I förväg delad nyckel) (högst 32 tecken).

  • Local/ID Type/ID (Lokal/ID-typ/ID)

    Välj avsändarens ID-typ och ange sedan ID.

    Välj IPv4 Address (IPv4-adress), IPv6 Address (IPv6-adress), FQDN, E-mail Address (E-postadress) eller Certificate (Certifikat) för typ.

    Om du väljer Certificate (Certifikat) ange du certifikatets vanliga namn i fältet ID.

  • Remote/ID Type/ID (Fjärrstyrning/ID-typ/ID)

    Välj mottagarens ID-typ och ange sedan ID.

    Välj IPv4 Address (IPv4-adress), IPv6 Address (IPv6-adress), FQDN, E-mail Address (E-postadress) eller Certificate (Certifikat) för typ.

    Om du väljer Certificate (Certifikat) ange du certifikatets vanliga namn i fältet ID.

Certificate (Certifikat) Om du valde Certificates (Certifikat) för Authentication Method (Autentiseringsmetod), väljer du certifikatet.
image

Du kan endast välja certifikatet som skapades på sidan Certificate (Certifikat) på säkerhetskonfigurationsskärmen i webbaserad hantering.

Närliggande information
Var den här sidan till din hjälp?

Ja

Nej

find moreaccept