模板名称 | 输入模板名称 (最多 16 个字符)。 |
请使用已加前缀的模板 | 选择自定义、IKEv2 高安全性或IKEv2 中安全性。设置项目根据所选模板不同而有所不同。 |
因特网密钥交换(IKE) | IKE 通信协议用于交换加密密钥以使用 IPsec 执行加密通信。为了仅在特定的时间执行加密通信,将确定 IPsec 所需的加密算法并共享加密密钥。对于 IKE,将使用 Diffie-Hellman 密钥交换方法交换加密密钥,并执行限制为 IKE 的加密通信。 如果在请使用已加前缀的模板中选择了自定义,选择IKEv2。 |
验证类型 | - Diffie-Hellman 小组
-
这种密钥交换方法可通过未受保护的网络安全地交换保密密钥。Diffie-Hellman 密钥交换方法使用离散对数问题,而不是保密密钥,来发送和接收使用随机数字和保密密钥生成的打开信息。 选择小组 1、小组 2、小组 5或小组 14。 - 加密
- 选择DES、3DES、AES-CBC 128或AES-CBC 256。
- 哈希算法
- 选择 MD5、SHA1、SHA256、SHA384 或 SHA512。
- SA 生存期
-
指定 IKE SA 生存期。 输入时间 (秒数) 和千字节数 (KB) |
压缩安全设置 | - 协议
- 选择ESP。
ESP 是使用 IPsec 执行加密通信的协议。ESP 对负载 (通信内容) 进行加密并添加其他信息。IP 数据包由标题和加密的有效负载组成,其中有效负载跟在标题后面。除了加密数据,IP 数据包还包括与加密方法和加密密钥、验证数据等有关的信息。 - 加密
- 选择DES、3DES、AES-CBC 128或AES-CBC 256。
- 哈希算法
- 选择 MD5、SHA1、SHA256、SHA384 或 SHA512。
- SA 生存期
-
指定 IKE SA 生存期。 输入时间 (秒数) 和千字节数 (KB) - 远程路由器 IP地址
-
输入远程路由器的 IP 地址 (IPv4 或 IPv6)。仅当选择隧道模式时,输入此信息。 SA (安全关联) 是一种加密通信方法,它使用 IPsec 或 IPv6 交换和共享加密方法和加密密钥等信息,以便在开始通信前建立安全的通信信道。SA 还指已建立的虚拟加密通信信道.用于 IPsec 的 SA 根据 IKE (因特网密钥交换) 标准步骤建立加密方法、交换密钥和执行相互认证。SA 还会定期更新。 |
完美向前保密(PFS) | PFS 不会从用于加密信息的先前密钥派生密钥。另外,如果用于加密信息的密钥是从父密钥派生的,则该父密钥不用于派生其他密钥。因此,即使密钥泄露,损坏范围也仅限于使用该密钥加密的信息。 选择已启用或已禁用。 |
身份验证方式 | 选择验证方法。选择预共享密钥、证书、EAP - MD5 或 EAP - MS-CHAPv2。 EAP 是一种验证协议,它是 PPP 的扩展。同时使用 EAP 和 IEEE802.1x 时,每次会话中将使用不同的密钥进行用户验证。 仅当将身份验证方式设置为 EAP - MD5 或 EAP - MS-CHAPv2 时,才有必要进行以下设置: 密码 输入密码 (最多 32 个字符)。密码必须输入两次以进行确认。 |
预共享密钥 | 对通信加密时,将使用其他信道事先交换和共享加密密钥。 如果身份验证方式设置为预共享密钥,输入预共享密钥 (最多 32 个字符)。 - 本地/ID 类型/ID
-
选择发送方的 ID 类型,然后输入 ID。 将类型设置为IPv4 地址、IPv6 地址、FQDN、电子邮件地址或证书。 如果选择证书,在 ID 字段中输入证书的通用名称。 - 远程/ID 类型/ID
-
选择接收方的 ID 类型,然后输入 ID。 将类型设置为IPv4 地址、IPv6 地址、FQDN、电子邮件地址或证书。 如果选择证书,在 ID 字段中输入证书的通用名称。 |
证书 | 如果身份验证方式设置为证书,选择证书。 仅可选择使用网络基本管理安全配置屏幕的证书页面创建的证书。 |