模板名称 | 输入模板名称 (最多 16 个字符)。 |
请使用已加前缀的模板 | 选择自定义、IKEv1 高安全性或IKEv1 中安全性。设置项目根据所选模板不同而有所不同。 默认模板根据您在 IPsec 配置屏幕上将协商模式选择为主或积极而有所不同。 |
因特网密钥交换(IKE) | IKE 通信协议用于交换加密密钥以使用 IPsec 执行加密通信。为了仅在特定的时间执行加密通信,将确定 IPsec 所需的加密算法并共享加密密钥。对于 IKE,将使用 Diffie-Hellman 密钥交换方法交换加密密钥,并执行限制为 IKE 的加密通信。 如果在请使用已加前缀的模板中选择了自定义,选择IKEv1。 |
验证类型 | - Diffie-Hellman 小组
-
这种密钥交换方法可通过未受保护的网络安全地交换保密密钥。Diffie-Hellman 密钥交换方法使用离散对数问题,而不是保密密钥,来发送和接收使用随机数字和保密密钥生成的打开信息。 选择小组 1、组2、组5或小组 14。 - 加密
- 选择DES、3DES、AES-CBC 128或AES-CBC 256。
- 哈希算法
- 选择 MD5、SHA1、SHA256、SHA384 或 SHA512。
- SA 生存期
-
指定 IKE SA 生存期。 输入时间 (秒数) 和千字节数 (KB) |
压缩安全设置 | - 协议
- 选择ESP、AH或AH+ESP。
ESP 是使用 IPsec 执行加密通信的协议。ESP 对负载 (通信内容) 进行加密并添加其他信息。IP 数据包由标题和跟在标题后的加密负载组成。除了加密数据,IP 数据包还包括与加密方法和加密密钥、验证数据等有关的信息。 AH 是 IPsec 协议的一部分,用于验证发送方和防止操纵数据 (确保数据的完整性)。在 IP 数据包中,数据紧接在标题后。数据包中还包含使用等式从通信内容、保密密钥等计算得出的哈希值,以防止篡改发送方和操纵数据。与 ESP 不同,通信内容不加密,数据以普通文本的方式发送和接收。 - 加密
- 选择DES、3DES、AES-CBC 128或AES-CBC 256。
- 哈希算法
- 选择无、MD5、SHA1、SHA256、SHA384或SHA512。
- SA 生存期
-
指定 IKE SA 生存期。 输入时间 (秒数) 和千字节数 (KB) - 路由器 IP地址
-
输入远程路由器的 IP 地址 (IPv4 或 IPv6)。仅当选择隧道模式时,输入此信息。 SA (安全关联) 是一种加密通信方法,它使用 IPsec 或 IPv6 交换和共享加密方法和加密密钥等信息,以便在开始通信前建立安全的通信信道。SA 还指已建立的虚拟加密通信信道.用于 IPsec 的 SA 根据 IKE (因特网密钥交换) 标准步骤建立加密方法、交换密钥和执行相互认证。SA 还会定期更新。 |
完美向前保密(PFS) | PFS 不会从用于加密信息的先前密钥派生密钥。另外,如果用于加密信息的密钥是从父密钥派生的,则该父密钥不用于派生其他密钥。因此,即使密钥泄露,损坏范围也仅限于使用该密钥加密的信息。 选择已启用或已禁用.。 |
身份验证方式 | 选择验证方法。选择预共享密钥或证书。 |
预共享密钥 | 对通信加密时,将使用其他信道事先交换和共享加密密钥。 如果身份验证方式设置为预共享密钥,输入预共享密钥 (最多 32 个字符)。 - 本地/ID 类型/ID
-
选择发送方的 ID 类型,然后输入 ID。 将类型设置为IPv4 地址、IPv6 地址、FQDN、电子邮件地址或证书。 如果选择证书,在 ID 字段中输入证书的通用名称。 - 远程/ID 类型/ID
-
选择接收方的 ID 类型,然后输入 ID。 将类型设置为IPv4 地址、IPv6 地址、FQDN、电子邮件地址或证书。 如果选择证书,在 ID 字段中输入证书的通用名称。 |
证书 | 如果身份验证方式设置为证书,选择证书。 仅可选择使用网络基本管理安全配置屏幕的证书页面创建的证书。 |