Hjem > Sikkerhed > Brug IPsec > Konfiguration af IPsec-skabelon med Web Based Management > IKEv1-indstillinger for en IPsec-skabelon

IKEv1-indstillinger for en IPsec-skabelon

Indstilling Beskrivelse
Template Name (Skabelonnavn) Indtast et navn for skabelonen (op til 16 tegn).
Use Prefixed Template (Brug skabelon med præfiks) Vælg Custom (Tilpasset), IKEv1 High Security (IKEv1 høj sikkerhed) eller IKEv1 Medium Security (IKEv1 medium sikkerhed). Indstillingselementerne varierer afhængigt af den valgte skabelon.
Internet Key Exchange (IKE)

IKE er en kommunikationsprotokol, der bruges til at udveksle krypteringsnøgler med det formål at udføre krypteret kommunikation via IPsec. Den krypterede kommunikation udføres kun på det pågældende tidspunkt, og derfor fastsættes den krypteringsalgoritme, der er nødvendig for IPsec, og krypteringsnøglerne deles. Ved IKE udveksles krypteringsnøglerne via Diffie-Hellman-nøgleudvekslingsmetoden, og der udføres en krypterede kommunikation, der er begrænset til IKE.

Hvis du har valgt Custom (Tilpasset) i Use Prefixed Template (Brug skabelon med præfiks), skal du vælge IKEv1.

Authentication Type (Godkendelsestype)
  • Diffie-Hellman Group (Diffie-Hellman-gruppe)

    Denne nøgleudvekslingsmetode muliggør sikker udveksling af hemmelige nøgler på et ubeskyttet netværk. Diffie-Hellman-nøgleudvekslingsmetoden bruger et diskret logaritmeproblem, ikke en hemmelig nøgle, til at sende og modtage åbne oplysninger, der er genereret ved hjælp af et vilkårligt tal og den hemmelige nøgle.

    Vælg Group1 (Gruppe1), Group2 (Gruppe2), Group5 (Gruppe5) eller Group14 (Gruppe14).

  • Encryption (Kryptering)
    Vælg DES, 3DES, AES-CBC 128 eller AES-CBC 256.
  • Hash
    Vælg MD5, SHA1, SHA256, SHA384 eller SHA512.
  • SA Lifetime (SA-levetid)

    Angiv IKE SA-livstiden.

    Indtast tid (sekunder) og antal kilobytes (kB).

Encapsulating Security (Indkapslingssikkerhed)
  • Protocol (Protokol)
    Vælg ESP, AH eller AH+ESP.
    image
    • ESP er en protokol til gennemførsel af krypteret kommunikation vha. IPsec. ESP krypterer dataene (kommunikeret indhold) og tilføjer yderligere oplysninger. En IP-pakke består af en header og de krypterede data, der følger headeren. Ud over de krypterede data indeholder IP-pakken også oplysninger om krypteringsmetoden og krypteringsnøglen, godkendelsesdataene osv.
    • AH er en del af IPsec-protokollen, der godkender afsenderen og forhindrer datamanipulation (sikrer fuldstændighed). I en IP-pakke indsættes dataene umiddelbart efter headeren. Derud over indeholder pakkerne en hash-værdi, der beregnes ved hjælp af en ligning fra det kommunikerede indhold, hemmelig nøgle osv., for at undgå forfalskning af afsenderen og datamanipulation. Modsat ESP sker der ingen kryptering af det kommunikerede indhold, og dataene sendes og modtages som almindelig tekst.
  • Encryption (Kryptering)
    Vælg DES, 3DES, AES-CBC 128 eller AES-CBC 256.
  • Hash
    Vælg None (Ingen), MD5, SHA1, SHA256, SHA384 eller SHA512.
  • SA Lifetime (SA-levetid)

    Angiv levetiden for IKE SA.

    Indtast tiden (sekunder) og antallet af kilobytes (kbytes).

  • Encapsulation Mode (Indkapslingstilstand)
    Markér Transport eller Tunnel.
  • Remote Router IP-Address (Fjernrouter-IP-adresse)

    Indtast IP-adressen (IPv4 eller IPv6) for fjernrouteren. Disse oplysninger skal kun indtastes, når tilstanden Tunnel er valgt.

    image
    SA (Security Association) er en krypteret kommunikationsmetode, der udveksler og deler oplysninger via IPsec eller IPv6, f.eks. krypteringsmetode og krypteringsnøgle, med henblik på at skabe en sikker kommunikationskanal, før kommunikationen starter. SA kan også henvise til en oprettet virtuel krypteret kommunikationskanal. SA til IPsec opretter krypteringsmetoden, udveksler nøglerne og udfører fælles godkendelse i overensstemmelse med standardproceduren IKE (Internet Key Exchange). Derudover opdateres SA med jævne mellemrum.
Perfect Forward Secrecy (PFS) (PFS (Perfect Forward Secrecy))

PFS henter ikke nøgler fra tidligere nøgler, der er blevet brugt til kryptering af meddelelser. Hvis en nøgle, der er blevet brugt til at kryptere en besked, hentes fra en overordnet nøgle, bruges den pågældende overordnede nøgle ikke til at hente andre nøgler. Hvis en nøgle kompromitteres, begrænses skadens omfang til de beskeder, der er blevet krypteret med den pågældende nøgle.

Markér Enabled (Aktiveret) eller Disabled (Deaktiveret).

Authentication Method (Godkendelsesmetode)

Vælg godkendelsesmetoden. Vælg Pre-Shared Key (Forhåndsdelt nøgle) eller Certificates (Certifikater).

Pre-Shared Key (Forhåndsdelt nøgle)

Når kommunikationen krypteres, udveksles og deles krypteringsnøglen på forhånd via en anden kanal.

Hvis du har valgt Pre-Shared Key (Forhåndsdelt nøgle) til Authentication Method (Godkendelsesmetode), skal du indtaste Pre-Shared Key (Forhåndsdelt nøgle) (op til 32 tegn).

  • Local/ID Type/ID (Lokal/Id-type/Id)

    Vælg afsenderens ID-type, og indtast derefter ID'et.

    Vælg IPv4 Address (IPv4-adresser), IPv6 Address (IPv6-adresser), FQDN, E-mail Address (E-mailadresse) eller Certificate (Certifikat) for den pågældende type.

    Hvis du vælger Certificate (Certifikat), skal du indtaste fællesnavnet for certifikatet i feltet ID.

  • Remote/ID Type/ID (Fjern/Id-type/Id)

    Vælg modtagerens ID-type, og indtast derefter ID'et.

    Vælg IPv4 Address (IPv4-adresser), IPv6 Address (IPv6-adresser), FQDN, E-mail Address (E-mailadresse) eller Certificate (Certifikat) for den pågældende type.

    Hvis du vælger Certificate (Certifikat), skal du indtaste fællesnavnet for certifikatet i feltet ID.

Certificate (Certifikat) Hvis du har valgt Certificates (Certifikater) for Authentication Method (Godkendelsesmetode), skal du vælge certifikatet.
image

Du kan kun vælge de certifikater, der blev oprettet på siden Certificate (Certifikat) under sikkerhedsfunktionerne på Web Based Management Securitys konfigurationsskærm.

Var denne side til hjælp?