Konfigurera IPSec-inställningar

Internet Protocol Security (IPSec eller IPsec) är en protokollsvit för kryptering av data som överförs över ett nätverk, däribland Internetnätverk. Medan SSL endast krypterar data som används i ett visst program, till exempel en webbläsare eller ett e-postprogram, krypterar IPSec antingen hela IP-paket eller nyttolasten i IP-paket, vilket gör IPSec till ett mer användbart säkerhetssystem. IPSec för enheten arbetar i transportläge där nyttolasten i IP-paket krypteras. Med den här funktionen kan enheten inte anslutas direkt till en dator som finns i samma virtuella privata nätverk (VPN). Kontrollera systemkraven och ställ in nödvändig konfiguration på datorn innan du konfigurerar enheten.
Systemkrav
IPSec-funktionsbegränsningar
IPSec har stöd för kommunikation med en unicast-adress (eller en enstaka enhet).
Enheten kan inte samtidigt använda både IPSec och DHCPv6.
IPSec kan inte användas i nätverk där NAT eller IP-maskering har implementerats.
Använda IPSec med IP-adressfilter
IP-adressens filterinställningar används före IPSec-principen.Ange IP-adresser för brandväggsregler

Konfigurera IPSec-inställningar

Innan du använder IPSec för krypterad kommunikation måste du registrera säkerhetsprinciper (SP). En säkerhetsprincip består av de inställningsgrupper som beskrivs nedan. Du kan registrera upp till 10 principer. När du har registrerat principerna anger du i vilken ordning de ska användas.
Manövrering
Med manövrering anger du villkor för IP-paket som ska använda IPSec-kommunikation. Valbara villkor är enhetens IP-adresser och portnummer samt de enheter som man ska kommunicera med.
IKE
IKE konfigurerar den IKEv1 som används för nyckelutbytesprotokoll. Anvisningarna varierar beroende på vilken autentiseringsmetod som valts.
[Metod för i förväg delad nyckel]
En nyckel med upp till 24 alfanumeriska tecken kan delas med andra enheter. Aktivera SSL för Fjärranvändargränssnittet innan du anger den här autentiseringsmetoden (Aktivera SSL för krypterad kommunikation för Fjärranvändargränssnittet).
[Digital signaturmetod]
Enheten och andra enheter autentiserar varandra genom att gemensamt verifiera de digitala signaturerna. Generera eller installera nyckelparet i förväg (Konfigurera inställningar för nyckelpar och digitala certifikat).
AH/ESP
Ange inställningar för AH/ESP, som läggs till paketen under IPSec-kommunikation. AH och ESP kan användas samtidigt. Du kan också välja om PFS ska aktiveras för ökad säkerhet.
1
Starta Fjärranvändargränssnittet och logga in i systemansvarigsläge. Starta Fjärranvändargränssnittet
2
Klicka på [Inställningar/Registrering].
3
Klicka på [Säkerhetsinställningar] [IPSec-inställningar].
4
Klicka på [Redigera].
5
Markera kryssrutan [Använd IPSec] och klicka på [OK].
Om du vill att enheten bara ska ta emot paket som matchar en av säkerhetsprinciperna som du anger i stegen nedan avmarkerar du kryssrutan [Ta emot paket utan principer].
6
Klicka på [Registrera ny princip].
7
Ange principinställningarna.
1
I textrutan [Principnamn] anger du upp till 24 alfanumeriska tecken för ett namn som ska användas för att identifiera principen.
2
Markera kryssrutan [Aktivera princip].
8
Ange manövreringsinställningarna.
[Lokal adress]
Klicka på alternativknappen för den typ av IP-adress för enheten som principen ska användas på.
[Alla IP-adresser]
Välj det här alternativet om du vill använda IPSec för alla IP-paket.
[IPv4-adress]
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från enhetens IPv4-adress.
[IPv6-adress]
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från enhetens IPv6-adress.
[Fjärradress]
Klicka på alternativknappen för den typ av IP-adress för de andra enheterna som principen ska användas på.
[Alla IP-adresser]
Välj det här alternativet om du vill använda IPSec för alla IP-paket.
[Alla IPv4-adresser]
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från IPv4-adresser för andra enheter.
[Alla IPv6-adresser]
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från IPv6-adresser för andra enheter.
[Manuella IPv4-inställningar]
Välj det här alternativet om du vill ange en enstaka IPv4-adress eller ett intervall av IPv4-adresser som IPSec ska användas på. Ange IPv4-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
[Manuella IPv6-inställningar]
Välj det här alternativet om du vill ange en enstaka IPv6-adress eller ett intervall av IPv6-adresser som IPSec ska användas på. Ange IPv6-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
[Adresser att ange manuellt]
Om [Manuella IPv4-inställningar] or [Manuella IPv6-inställningar] har valts för [Fjärradress], anger du IP-adressen som principen ska användas på. Du kan också ange ett adressintervall genom att infoga ett bindestreck mellan adresserna.
Ange IP-adresser
Beskrivning
Exempel
Ange en enstaka adress
IPv4:
Avgränsa tal med punkter.
192.168.0.10
IPv6:
Avgränsa alfanumeriska tecken med kolon.
fe80::10
Ange ett adressintervall
Infoga ett bindestreck mellan adresserna.
192.168.0.10-192.168.0.20
[Delnätsinställningar]
När du anger en IPv4-adress manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
[Prefixlängd]
Secificera IPv6-adresser manuellt gör att du kan specificera området genom att använda prefix. Ange ett område mellan 0 och 128 som prefixlängd.
[Lokal port]/[Fjärrport]
Om du vill skapa separata principer för varje protokoll, till exempel HTTP eller SMTP, anger du lämpligt portnummer för protokollet för att bestämma om IPSec ska användas.
IPSec används inte för följande paket
Loopback-, multicast- och sändningspaket
IKE-paket (som använder UDP på port 500)
ICMPv6-granninbjudans- och grannannonseringspaket
9
Ange IKE-inställningarna.
[IKE-läge]
Det läge visas som används för nyckelutbytesprotokollet. Enheten har stöd för huvudläge och inte aggressivt läge.
[Verifieringsmetod]
Välj [Metod för i förväg delad nyckel] eller [Digital signaturmetod] för den metod som ska användas vid autentisering av enheten. Du måste aktivera SSL för Fjärranvändargränssnittet innan du väljer [Metod för i förväg delad nyckel] (Aktivera SSL för krypterad kommunikation för Fjärranvändargränssnittet). Du måste generera eller installera ett nyckelpar innan du väljer [Digital signaturmetod] (Konfigurera inställningar för nyckelpar och digitala certifikat).
[Giltig i]
Ange hur länge en session ska vara för IKE SA (ISAKMP SA). Ange tiden i minuter.
[Verifiering]/[Kryptering]/[DH-grupp]
Välj en algoritm i listrutan. Varje algoritm används i nyckelutbytet.
[Verifiering]
Välj hash-algoritm.
[Kryptering]
Välj krypteringsalgoritm.
[DH-grupp]
Välj Diffie-Hellman-gruppen som bestämmer nyckellängden.
 Använda en på förhand delad nyckel för autentisering
1
Klicka på [Metod för i förväg delad nyckel] för [Verifieringsmetod] och sedan på [Inställningar för delad nyckel].
2
Ange upp till 24 alfanumeriska tecken för den på förhand delade nyckeln och klicka sedan på [OK].
3
Ange inställningar för [Giltig i] och [Verifiering]/[Kryptering]/[DH-grupp].
 Använda ett nyckelpar och förinstallerade CA-certifikat för autentisering
1
Klicka på [Digital signaturmetod] för [Verifieringsmetod] och sedan på [Nyckel och certifikat].
2
Klicka på [Registrera standardnyckel] till höger om ett nyckelpar som du vill använda.
Visa information om ett nyckelpar eller certifikat
Du kan kontrollera information om certifikatet eller verifiera certifikatet genom att klicka på motsvarande textlänk under [Nyckelnamn] eller på certifikatikonen. Verifiera nyckelpar och digitala certifikat
3
Ange inställningar för [Giltig i] och [Verifiering]/[Kryptering]/[DH-grupp].
10
Ange IPSec-nätverksinställningar.
[Använd PFS]
Markera kryssrutan för att aktivera PFS (Perfect Forward Secrecy) för IPSec-sessionsnycklar. Om du aktiverar PFS utökas säkerheten och samtidigt minskas kommunikationsbelastningen. Kontrollera att PFS också aktiverats för de andra enheterna.
[Ange efter tid]/[Ange efter format]
Ange villkoren för att avbryta en session för IPSec SA. IPSec SA används som en kommunikationstunnel. Markera en eller båda kryssrutorna. Om båda kryssrutorna har markerats avbryts IPSec SA-sessionen när något av villkoren uppfylls.
[Ange efter tid]
Ange en tid i minuter för hur länge en session ska vara.
[Ange efter format]
Ange i MB hur mycket data som kan överföras under en session.
[Välj algoritm]
Markera kryssrutorna [ESP], [ESP (AES-GCM)] eller [AH (SHA1)] beroende på vilket IPSec-huvud och vilken algoritm som används. AES-GCM är en algoritm för både autentisering och kryptering. Om [ESP] valts väljer du också algoritmer för autentisering och kryptering i listrutorna [ESP-verifiering] och [ESP-kryptering].
[ESP-verifiering]
Om du vill aktivera ESP-autentisering väljer du [SHA1] för hash-algoritmen. Välj [Använd inte] om du vill inaktivera ESP-autentiseringen.
[ESP-kryptering]
Välj krypteringsalgoritm för ESP. Du kan välja [NULL] om du inte vill ange algoritm, eller välja [Använd inte] om du vill inaktivera ESP-kryptering.
[Anslutningsläge]
Anslutningsläget för IPSec visas. Enheten har stöd för transportläge där nyttolasten i IP-paket krypteras. Tunnelläge, där hela IP-paket (huvud och nyttolast) kapslas in, är inte tillgängligt.
11
Klicka på [OK].
Om du måste registrera ytterligare säkerhetsprinciper går du tillbaka till steg 6.
12
Ordna principerna som visas under [Registrerade IPSec-principer].
Principerna används i ordning från högsta till lägsta position. Klicka på [Upp] eller [Ned] för att flytta upp eller ner en princip.
Redigera en policy
Klicka på motsvarande textlänk under [Principnamn] för att öppna redigeringsskärmen.
Ta bort en policy
Klicka på [Ta bort] till höger om det policynamn du vill ta bort och klicka sedan på [OK].
 
13
Starta om enheten.
Stäng av enheten och vänta i minst 10 sekunder innan du slår på den igen.
Använda kontrollpanelen
Du kan också aktivera eller inaktivera IPSec-kommunikation från <Meny> på <Hem> skärmen. Använd IPSec
0W5R-09S