×

ipsec配置

hqy hqy 发表于2019-11-24 17:31:48 浏览2053 评论0

抢沙发发表评论

  • 界面配置

    • 这里写图片描述

    这里写图片描述

    这里写图片描述

    1. 参数说明

    IPSec安全策略设置

    您可以通过本页面设置IPSec安全策略,安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略设置分为必要设置和高级设置两个部分,其中高级设置是可选部分。

    • 必要设置

    对于新建的安全策略,必要设置是必须提供的,不能省略。

    • 安全策略名称

    设置IPSec安全策略的名称,名称最多支持32个字符。

    • 对端网关

    设置对端网关,可以填写对端的IP地址或域名,作为响应者的时候可以将对端网关设为“0.0.0.0”,表示对端地址可以任意。

    • 绑定接口

    本地子网范围

    设置受保护的数据流的本地子网范围,由IP地址和子网掩码来确定。

    • 对端子网范围

    设置受保护的数据流的对端子网范围,由IP地址和子网掩码来确定。

    • 预共享密钥

    对于每对<绑定接口,对端网关>,都必须指定唯一的预共享密钥作为它们之间相互认证的凭证。

    • 状态

    设置勾选启用时,当前策略生效。

    高级设置

    高级设置包括两个部分:阶段1设置和阶段2设置。一般地,用户不需要配置高级设置,采用默认值即可。

    • 高级设置-阶段1设置

    设定IKEv1的第一阶段的相关参数

    • 安全提议

    用于IKE协商方式下选择IPSec安全提议,在IKE协商模式下可以最多选择四条不同安全提议,主模式协商可以选择4条,野蛮模式协商可以选择1条。

    • 交换模式

    IKEv1版本支持两种模式:主模式和野蛮模式,默认是选择主模式。

    • 协商模式

    初始者模式会主动向对端发起连接,此时要求对端网关是路由可达,而响应者模式仅仅会等待对端发起连接。

    • 本地ID类型

    作为对端的身份标识,支持两种类型:IP地址和NAME,默认选择"IP地址",如果选择NAME类型,则需要输入任意的字符串。

    • 本地ID

    仅仅在本地ID类型选择NAME的时候生效,用于存储用户输入对应的字符串。

    • 对端ID类型

    作为对端的身份标识,支持两种类型:IP地址和NAME,默认选择"IP地址",如果选择NAME类型,则需要输入任意的字符串。

    • 对端ID

    仅仅在对端ID类型选择NAME的时候生效,用于存储用户输入对应的字符串。

    • 生存时间

    用于IKE协商方式下设置第一阶段IPSec会话密钥的生存时间。

    • DPD检测开启

    选择是否开启DPD检测功能,开启该功能会定时发送DPD数据包以快速发现对端是否在线。

    • DPD检测周期

    仅在DPD检测开启启用之后生效,用于指定相邻两次发送DPD检测数据包的时间间隔。

    • 高级设置-阶段2设置

    设定IKEv1的第二阶段的相关参数

    • 封装模式

    指定该策略是隧道模式还是传输模式,两者的区别在于:前者会在原始IP报文外多增加一个IP头,后者则不会。

    • 安全提议

    用于IKE协商方式下选择IPSec安全提议,在IKE协商模式下可以最多选择四条不同安全提议。

    • PFS

    用于IKE协商方式下设置IPSec会话密钥的PFS属性,对端的PFS属性必须与本地的PFS属性一致。

    • 生存时间

    用于IKE协商方式下设置第二阶段IPSec会话密钥的生存时间。

    • IPSec安全策略列表

    您可以查看已经配置的IPSec安全策略条目,还可以通过表格按钮对条目进行操作。

    1. 主要参数说明

    • 阶段一安全提议:

    md5-des-dh1
md5-des-dh2
md5-des-dh5
md5-3des-dh1
md5-3des-dh2
md5-3des-dh5
md5-aes128-dh1
md5-aes128-dh2
md5-aes128-dh5
md5-aes192-dh1
md5-aes192-dh2
md5-aes192-dh5
md5-aes256-dh1
md5-aes256-dh2
md5-aes256-dh5
sha1-des-dh1
sha1-des-dh2                                                                                                                                                                                                 
sha1-des-dh5
sha1-3des-dh1
sha1-3des-dh2
sha1-3des-dh5
sha1-aes128-dh1
sha1-aes128-dh2
sha1-aes128-dh5
sha1-aes192-dh1
sha1-aes192-dh2
sha1-aes192-dh5
sha1-aes256-dh1
sha1-aes256-dh2
sha1-aes256-dh5

    • 阶段二安全提议:

    ah-md5
ah-sha1
esp-md5-des
esp-md5-3des
esp-md5-aes128
esp-md5-aes192
esp-md5-aes256
esp-sha1-des
esp-sha1-3des
esp-sha1-aes128
esp-sha1-aes192
esp-sha1-aes256

    • PFS:

    none
dh1
dh2
dh5

    1. IPSec安全联盟

    这里写图片描述

    参数说明:

    IPSec安全联盟列表
0)名称
显示安全联盟的名称,一般地,该名称和安全策略名称相同。
1)SPI
显示安全联盟的SPI(Security Parameter Index,安全性参数索引),注意每一个安全联盟的SPI都不相同。
2)方向
显示安全联盟的方向(in:流入/out:流出)。
3)隧道两端
显示安全联盟的两端的网关地址。
4)数据流
显示安全联盟的两端的子网范围。
5)安全协议
显示安全联盟使用的安全协议。
6)AH验证算法
显示安全联盟使用的AH验证算法。
7)ESP验证算法
显示安全联盟使用的ESP验证算法。
8)ESP加密算法
显示安全联盟使用的ESP加密算法。
打赏

本文链接:https://www.kinber.cn/post/1043.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客