IKE 通信协议用于交换加密密钥以使用 IPsec 执行加密通信。为了仅在特定的时间执行加密通信，将确定 IPsec 所需的加密算法并共享加密密钥。对于 IKE，将使用 Diffie-Hellman 密钥交换方法交换加密密钥，并执行限制为 IKE 的加密通信。

• Diffie-Hellman 小组

  这种密钥交换方法可通过未受保护的网络安全地交换保密密钥。Diffie-Hellman 密钥交换方法使用离散对数问题，而不是保密密钥，来发送和接收使用随机数字和保密密钥生成的打开信息。

  选择小组 1、小组 2、小组 5或小组 14。

• 加密

  选择DES、3DES、AES-CBC 128或AES-CBC 256。

• 哈希算法

  选择 MD5、SHA1、SHA256、SHA384 或 SHA512。

• SA 生存期

  指定 IKE SA 生存期。

  输入时间 (秒数) 和千字节数 (KB)

• 协议

  选择ESP。

  

  ESP 是使用 IPsec 执行加密通信的协议。ESP 对负载 (通信内容) 进行加密并添加其他信息。IP 数据包由标题和加密的有效负载组成，其中有效负载跟在标题后面。除了加密数据，IP 数据包还包括与加密方法和加密密钥、验证数据等有关的信息。

• 加密

  选择DES、3DES、AES-CBC 128或AES-CBC 256。

• 哈希算法

  选择 MD5、SHA1、SHA256、SHA384 或 SHA512。

• SA 生存期

  指定 IKE SA 生存期。

  输入时间 (秒数) 和千字节数 (KB)

• 压缩模式

  选择传输或隧道.。

• 远程路由器 IP地址

  输入远程路由器的 IP 地址 (IPv4 或 IPv6)。仅当选择隧道模式时，输入此信息。

  

  SA (安全关联) 是一种加密通信方法，它使用 IPsec 或 IPv6 交换和共享加密方法和加密密钥等信息，以便在开始通信前建立安全的通信信道。SA 还指已建立的虚拟加密通信信道.用于 IPsec 的 SA 根据 IKE (因特网密钥交换) 标准步骤建立加密方法、交换密钥和执行相互认证。SA 还会定期更新。

PFS 不会从用于加密信息的先前密钥派生密钥。另外，如果用于加密信息的密钥是从父密钥派生的，则该父密钥不用于派生其他密钥。因此，即使密钥泄露，损坏范围也仅限于使用该密钥加密的信息。

选择已启用或已禁用.。

选择验证方法。选择预共享密钥、证书、EAP - MD5 或 EAP - MS-CHAPv2。

EAP 是一种验证协议，它是 PPP 的扩展。同时使用 EAP 和 IEEE802.1x 时，每次会话中将使用不同的密钥进行用户验证。

仅当将认证方法。设置为 EAP - MD5 或 EAP - MS-CHAPv2 时，才有必要进行以下设置：

• 模式

  选择服务器模式或客户端模式。

• 证书

  选择证书。

• 用户名

  输入用户名（最多 32 个字符）。

• 密码

  输入密码 (最多 32 个字符)。密码必须输入两次以进行确认。

对通信加密时，将使用其他信道事先交换和共享加密密钥。

如果认证方法。设置为预共享密钥，输入预共享密钥 (最多 32 个字符)。

• 本地/ID 类型/ID

  选择发送方的 ID 类型，然后输入 ID。

  将类型设置为IPv4 地址、IPv6 地址、FQDN、电子邮件地址或证书。

  如果选择证书，在 ID 字段中输入证书的通用名称。

• 远程/ID 类型/ID

  选择接收方的 ID 类型，然后输入 ID。

  将类型设置为IPv4 地址、IPv6 地址、FQDN、电子邮件地址或证书。

  如果选择证书，在 ID 字段中输入证书的通用名称。