第一阶段IKE(InternetKeyExchange,因特网密钥交换协议)设置
大多数产商都把这个叫成VPNsGateway
协商模式:
可以选择主模式(Main)或野蛮模式(Aggressive)。当选择主模式时,只能使用ip地址作为ID的类型。当用户端设备的IP地址为动
态获取的情况时,需要选择野蛮模式。IKE野蛮模式相对于主模式来说更加灵活,可以选择根据协商发起端的IP地址或者ID来查找
对应的身份验证字,并最终完成协商。
验证方法AH(AuthenticationHeader):
身份验证确认通信双方的身份。目前在IKE提议中,仅可用pre-shared-key身份验证方法,使用该验证方法时必须配置身份验证
字。
加密算法:
1.包括DES和3DES加密算法,
2.DES算法采用56bits的密钥进行加密;
3.3DES算法采用168bits的密钥进行加密;
4.AES128(AdvancedEncryptionStandard,即高级加密标准)采用Rijndael中的128bits的密钥进行加密
5.AES192(AdvancedEncryptionStandard,即高级加密标准)采用Rijndael中的192bits的密钥进行加密
6.AES256(AdvancedEncryptionStandard,即高级加密标准)采用Rijndael中的256bits的密钥进行加密
一般来说,密钥越长的算法强度越高,受保护数据越难被破解,但消耗的计算资源会更多。
Diffie-Hellman组标识(DH):
用户可以选择Group1即768bit或Group2即1024bit。
ISAKMP-SA生存周期:
IKE使用了两个阶段为IPSEC进行密钥协商并建立安全联盟。第一阶段,通信各方彼此间建立了一个已通过身份验证和安全保护的
通道,即ISAKMP安全联盟(ISAKMPSA);第二阶段,用在第一阶段建立的安全通道为IPSEC协商安全服务,即为IPSEC协商具
体的安全联盟,建立IPSECSA,IPSECSA用于最终的IP数据安全传送。ISAKMP-SA生存周期可以设定为60到604800之间的一
个整数。
定时发送keepAlive报文:
IKE通过ISAKMPSA向对端定时发送Keepalive报文维护该条ISAKMPSA的链路状态。当对端在配置的超时时间内未收到此
Keepalive报文时,如该ISAKMPSA带有TIMEOUT标记,则删除该ISAKMPSA及由其协商的IPSECSA;否则,将其标记为
TIMEOUT。
第二阶段IPSEC
封装模式:
包括传输模式(Transport)和隧道模式(Tunnel)。从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和
加密;此外,可以使用IPSEC对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有
一个额外的IP头。因此,到底使用哪种模式需要在安全性和性能间进行权衡。
安全联盟生存周期:
所有在安全策略视图下没有单独配置生存周期的安全联盟,都采用全局生存周期。IKE(InternetKeyExchange,因特网密钥交换
协议)为IPSEC协商建立安全联盟时,采用本地设置的和对端提议的生存周期中较小的一个。安全联盟生存周期的输入范围为
30~604800的整数。
采用的安全协议:
安全提议中需要选择所采用的安全协议。目前可选的安全协议有AH和ESP,也可指定同时使用AH与ESP。安全隧道两端所选择的
安全协议必须一致。
ESP协议加密算法:
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法的实现主要通过对称密钥系统,即使用相同的
密钥对数据进行加密和解密。一般来说IPSEC使用两种加密算法:DES和3DES。
ESP协议及AH协议验证算法:
AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。一般来说IPSEC使用两种验证算法:MD5和
SHA-1。
1.MD5:MD5输入任意长度的消息,产生128bit的消息摘要。
2.SHA-1:SHA-1输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-1的摘要长于MD5,因而是更安全的。
使用NAT穿越:
在IPSEC/IKE组建的VPN隧道中,若存在NAT安全网关设备,则必须配置IPSEC/IKE的NAT穿越功能。
【编辑推荐】