Konfigurera IPSec-inställningar
Internet Protocol Security (IPSec eller IPsec) är en protokollsvit för kryptering av data som överförs över ett nätverk, däribland Internet-nätverk. Medan TLS endast krypterar data som används i ett visst program, till exempel en webbläsare eller ett e-postprogram, krypterar IPSec antingen hela IP-paket eller nyttolasten i IP-paket, vilket gör IPSec till ett mer användbart säkerhetssystem. IPSec för enheten arbetar i transportläge där nyttolasten i IP-paket krypteras. Med den här funktionen kan enheten anslutas direkt till en dator som finns i samma virtuella privata nätverk (VPN). Kontrollera systemkraven och ställ in nödvändig konfiguration på datorn innan du konfigurerar enheten.
Systemkrav
IPSec som stöds av enheten uppfyller kraven för RFC4301, RFC4302, RFC4303 och RFC4305.
|
Operativsystem som stöds av kommunikationspartners
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Anslutningsläge
|
Transportläge
|
|
|
Nyckelutbytesprotokoll
|
IKEv1
|
|
|
Utskriftsläge
|
Huvudläge
Aggressivt läge
|
|
|
Autentiseringsmetod
|
På förhand delad nyckel
Digital signatur
|
|
|
Hash-algoritm
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Krypteringsalgoritm
(och nyckellängd) |
3DES-CBC
AES-CBC (128, 192 eller 256 bitar)
|
|
|
Nyckelutbytesalgoritm/grupp (och nyckellängd)
|
Diffie-Hellman (DH)
Grupp 1 (768 bitar)
Grupp 2 (1 024 bitar)
Grupp 14 (2 048 bitar)
|
|
|
ESP (Encapsulating Security Payload)
|
Hash-algoritm
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Krypteringsalgoritm
(och nyckellängd) |
3DES-CBC
AES-CBC (128, 192 eller 256 bitar)
|
|
|
AH (Authentication Header)
|
Hash-algoritm
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Innan du anger inställningar för IPSec-kommunikationKontrollera IPSec-inställningarna i operativsystemet som enheten ska kommunicera med. En felaktig kombination av operativsysteminställningar och enhetsinställningar omöjliggör IPSec-kommunikation.
|
 |
IPSec-funktionsbegränsningarIPSec har stöd för kommunikation med en unicast-adress (eller en enstaka enhet).
Enheten kan inte samtidigt använda både IPSec och DHCPv6.
IPSec kan inte användas i nätverk där NAT eller IP-maskering har implementerats.
I IKEv1 fas 1 stöds inte PFS.
Använda IPSec med IP-adressfilterIPSec-inställningar används före IP-adressfilterinställningarna under paketmottagning, medan IP-adressinställningarna används före IPSec-inställningarna vid paketsändning. Ange IP-adresser för brandväggsregler
|
Registrera säkerhetspolicyer
Du måste registrera säkerhetspolicyer (SP) innan du aktiverar IPSec-inställningarna för att kunna använda IPSec-krypterad kommunikation (Aktivera IPSec-kommunikation). En säkerhetspolicy består av de inställningsgrupper som beskrivs nedan. Det går att registrera upp till 10 policyer. Du kan registrera flera policyer genom kombinationer av IP-adress och portnummer. När du har registrerat policyer ska du ange deras prioritetsordning.
Manövrering
Med manövrering anger du villkor för IP-paket som ska använda IPSec-kommunikation. Valbara villkor är enhetens IP-adresser och portnummer samt de enheter som man ska kommunicera med.
IKE
IKE konfigurerar den IKEv1 som används för nyckelutbytesprotokoll. Anvisningarna varierar beroende på vilken autentiseringsmetod som valts.
[Metod för i förväg delad nyckel]
En nyckel med upp till 24 alfanumeriska tecken kan delas med andra enheter. Aktivera TLS för fjärranvändargränssnittet i förväg (Använda TLS för krypterad kommunikation).
En nyckel med upp till 24 alfanumeriska tecken kan delas med andra enheter. Aktivera TLS för fjärranvändargränssnittet i förväg (Använda TLS för krypterad kommunikation).
[Digital signaturmetod]
Den här enheten och övriga enheter autentiserar varandra genom att gemensamt verifiera varandras digitala signaturer. Se till att ha ett nyckelpar till hands (Använda CA-utfärdade nyckelpar och digitala certifikat).
Den här enheten och övriga enheter autentiserar varandra genom att gemensamt verifiera varandras digitala signaturer. Se till att ha ett nyckelpar till hands (Använda CA-utfärdade nyckelpar och digitala certifikat).
Ange protokoll och alternativ
Ange inställningar för ESP och AH som läggs till i paketen under IPSec-kommunikation. ESP och AH kan inte användas samtidigt. Du kan även välja om PFS ska aktiveras för att få en högre säkerhet.
1
Starta fjärranvändargränssnittet och logga in i administratörsläge. Starta Fjärranvändargränssnittet
2
Klicka på [Inställningar/Registrering].
3
Klicka på [Säkerhet] 
[IPSec-inställningar].
[IPSec-inställningar].
4
Klicka på [IPSec-principlista].
5
Klicka på [Registrera IPSec-princip].
6
Ange ett policynamn i [Principnamn] och markera kryssrutan [Aktivera princip].
[Principnamn]
Ange upp till 24 alfanumeriska tecken för ett namn som ska användas för att identifiera policyn.
Ange upp till 24 alfanumeriska tecken för ett namn som ska användas för att identifiera policyn.
[Aktivera princip]
Markera kryssrutan för att aktivera policyn. Avmarkera kryssrutan när policyn inte används.
Markera kryssrutan för att aktivera policyn. Avmarkera kryssrutan när policyn inte används.
7
Ange manövreringsinställningarna.
[Lokal adress]
Välj den typ av IP-adress som enheten har för att använda en policy i följande lista.
Välj den typ av IP-adress som enheten har för att använda en policy i följande lista.
|
[Alla IP-adresser]
|
Välj det här alternativet om du vill använda IPSec för alla IP-paket.
|
|
[IPv4-adress]
|
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från enhetens IPv4-adress.
|
|
[IPv6-adress]
|
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från enhetens IPv6-adress.
|
|
[Manuella IPv4-inställningar]
|
Välj det här alternativet om du vill ange en enstaka IPv4-adress eller ett intervall av IPv4-adresser som IPSec ska användas på. Ange IPv4-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
|
|
[Manuella IPv6-inställningar]
|
Välj det här alternativet om du vill ange en enstaka IPv6-adress eller ett intervall av IPv6-adresser som IPSec ska användas på. Ange IPv6-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
|
[Adresser att ange manuellt]
Om du väljer [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] i [Lokal adress] anger du IP-adressen för att använda policyn.
Om du väljer [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] i [Lokal adress] anger du IP-adressen för att använda policyn.
[Delnätsinställningar]
När du anger IPv4-adresser manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
När du anger IPv4-adresser manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
[Fjärradress]
Välj den typ av IP-adress som den andra enheten har för att använda en policy i följande lista.
Välj den typ av IP-adress som den andra enheten har för att använda en policy i följande lista.
|
[Alla IP-adresser]
|
Välj det här alternativet om du vill använda IPSec för alla IP-paket.
|
|
[Alla IPv4-adresser]
|
Välj det här alternativet för att använda IPSec för alla IP-paket som skickas till och från en IPv4-adress.
|
|
[Alla IPv6-adresser]
|
Välj det här alternativet för att använda IPSec för alla IP-paket som skickas till och från en IPv6-adress.
|
|
[Manuella IPv4-inställningar]
|
Välj det här alternativet om du vill ange en enstaka IPv4-adress eller ett intervall av IPv4-adresser som IPSec ska användas på. Ange IPv4-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
|
|
[Manuella IPv6-inställningar]
|
Välj det här alternativet om du vill ange en enstaka IPv6-adress eller ett intervall av IPv6-adresser som IPSec ska användas på. Ange IPv6-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
|
[Adresser att ange manuellt]
Om du väljer [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] i [Fjärradress] anger du IP-adressen för att använda policyn.
Om du väljer [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] i [Fjärradress] anger du IP-adressen för att använda policyn.
[Delnätsinställningar]
När du anger IPv4-adresser manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
När du anger IPv4-adresser manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
[Lokal port]/[Fjärrport]
Om du vill skapa separata principer för varje protokoll, till exempel HTTP eller SMTP, anger du lämpligt portnummer för protokollet för att bestämma om IPSec ska användas.
Om du vill skapa separata principer för varje protokoll, till exempel HTTP eller SMTP, anger du lämpligt portnummer för protokollet för att bestämma om IPSec ska användas.
IPSec används inte för paket som har en angiven multicast- eller sändningsadress.
8
Ange IKE-inställningarna.
[IKE-läge]
Läget som används för nyckelutbytesprotokollet visas. Normalt sett ska huvudläget väljas.
Välj aggressivt läge när IP-adressen inte är fast. Observera att säkerheten är lägre i det aggressiva läget än i huvudläget.
[AUTENT-metod]
Välj [Metod för i förväg delad nyckel] eller [Digital signaturmetod] som metod för att autentisera enheten.
Välj [Metod för i förväg delad nyckel] eller [Digital signaturmetod] som metod för att autentisera enheten.
När det aggressiva läget väljs i [IKE-läge] krypterar läget [Metod för i förväg delad nyckel] inte den delade nyckeln.
[Autentiserings-/krypteringsalgoritm]
Markera kryssrutan [Auto] för att automatiskt ange algoritmen som används i nyckelutbytet. Om du markerar kryssrutan anges algoritmen enligt nedan.
Markera kryssrutan [Auto] för att automatiskt ange algoritmen som används i nyckelutbytet. Om du markerar kryssrutan anges algoritmen enligt nedan.
|
[Autentiseringsmetod]
|
[SHA1 och MD5]
|
|
[Kryptering]
|
[3DES-CBC och AES-CBC]
|
|
[DH-grupp]
|
[Grupp 2 (1024)]
|
Avmarkera kryssrutan och välj algoritm om du vill ange algoritmen manuellt.
|
[Autentiseringsmetod]
|
Välj hash-algoritm.
|
|
[Kryptering]
|
Välj krypteringsalgoritm.
|
|
[DH-grupp]
|
Välj Diffie-Hellman-gruppen som bestämmer nyckellängden.
|
Använda [Metod för i förväg delad nyckel] för autentisering
|
1
|
Välj [Metod för i förväg delad nyckel] i [AUTENT-metod] och klicka på [Inställningar för delad nyckel].
|
|
2
|
Ange upp till 24 alfanumeriska tecken för den på förhand delade nyckeln och klicka sedan på [OK].
 |
Använda [Digital signaturmetod] för autentisering
|
1
|
Välj [Digital signaturmetod] i [AUTENT-metod] och klicka på [Nyckel och certifikat].
|
|
2
|
Välj nyckelparet som ska användas och klicka på [Standardnyckelinställningar].
 Visa information om ett nyckelpar eller certifikat
Du kan kontrollera information om certifikatet eller verifiera certifikatet genom att klicka på motsvarande textlänk under [Nyckelnamn] eller på certifikatikonen. Verifiera nyckelpar och digitala certifikat
|
9
Ange IPSec-nätverksinställningar.
[Använd PFS]
Markera kryssrutan för att aktivera PFS (Perfect Forward Secrecy) för IPSec-sessionsnycklar. Om du aktiverar PFS utökas säkerheten och samtidigt minskas kommunikationsbelastningen. Kontrollera att PFS även är aktiverat för övriga enheter. Avmarkera kryssrutan när PFS inte används.
[Giltighet]
Ange hur länge SA används som en kommunikationstunnel. Markera kryssrutan [Ange efter tid] eller [Ange efter format] eller båda kryssrutorna om det behövs. Om båda kryssrutorna markeras avslutas IPSec SA-sessionen när något av villkoren uppfylls .
Ange hur länge SA används som en kommunikationstunnel. Markera kryssrutan [Ange efter tid] eller [Ange efter format] eller båda kryssrutorna om det behövs. Om båda kryssrutorna markeras avslutas IPSec SA-sessionen när något av villkoren uppfylls .
|
[Ange efter tid]
|
Ange en tid i minuter för hur länge en session ska vara. Den angivna tiden används för både IPSec SA och IKE SA.
|
|
[Ange efter format]
|
Ange i MB hur mycket data som kan överföras under en session. Den angivna storleken används endast för IPSec SA.
|
Om du endast har markerat kryssrutan [Ange efter format]
IKE SA-validering kan inte anges per storlek. Därför används det initiala värdet (480 minuter) för [Ange efter tid].
[Autentiserings-/krypteringsalgoritm]
Välj protokoll och algoritm för IPSec-kommunikation.
Välj protokoll och algoritm för IPSec-kommunikation.
Upprätta anslutning automatisktVälj [Auto].
|
[ESP-autentisering]
|
ESP aktiveras och autentiseringsalgoritmen anges till [SHA1 och MD5].
|
|
[ESP-kryptering]
|
ESP aktiveras och krypteringsalgoritmen anges till [3DES-CBC och AES-CBC].
|
Använda ESPVälj [ESP] och sedan autentiserings- och krypteringsalgoritm.
|
[ESP-autentisering]
|
Välj hash-algoritm för ESP-autentisering.
|
|
[ESP-kryptering]
|
Välj krypteringsalgoritm för ESP.
|
Använda AHVälj [AH] och sedan hash-algoritmen som ska användas för AH-autentisering i [AH-autentisering].
[Anslutningsläge]
Anslutningsläget för IPSec visas. Enheten har stöd för transportläge där nyttolasten i IP-paket krypteras. Tunnelläge, där hela IP-paket (huvud och nyttolast) kapslas in, är inte tillgängligt.
Anslutningsläget för IPSec visas. Enheten har stöd för transportläge där nyttolasten i IP-paket krypteras. Tunnelläge, där hela IP-paket (huvud och nyttolast) kapslas in, är inte tillgängligt.
10
Klicka på [OK].
Om du måste registrera fler säkerhetspolicyer går du tillbaka till steg 5.
11
Ordna principerna som visas under [IPSec-principlista].
Principerna används i ordning från högsta till lägsta position. Klicka på [Öka prioritet] eller [Lägre prioritet] för att flytta upp eller ner en princip.
Redigera en policy
Du kan klicka på textlänken under [Principnamn] när du vill redigera inställningarna.
Ta bort en policy
Klicka på [Ta bort] till höger om policyn du vill ta bort.
12
Gör en maskinvaruåterställning.
Klicka på [Enhetskontroll], välj [Hård återställning] och klicka sedan på [Utför].
Inställningarna aktiveras när du har gjort en maskinvaruåterställning.
Aktivera IPSec-kommunikation
Aktivera IPSec-kommunikation när du har registrerat säkerhetspolicyer.
1
Starta fjärranvändargränssnittet och logga in i administratörsläge. Starta Fjärranvändargränssnittet
2
Klicka på [Inställningar/Registrering].
3
Klicka på [Säkerhet] [IPSec-inställningar].
[IPSec-inställningar].4
Klicka på [Redigera].
5
Markera kryssrutan [Använd IPSec] och klicka på [OK].
[Använd IPSec]
Markera kryssrutan när du skriver ut med IPSec. Avmarkera kryssrutan när det inte används.
[Tillåt mottagning av paket utan principer]
Om du markerar kryssrutan när du använder IPSec kommer även paket som inte är tillgängliga för registrerade policyer att skickas och tas emot. Avmarkera kryssrutan om du inte vill skicka/ta emot paket som inte är tillgängliga för policyerna.
Om du markerar kryssrutan när du använder IPSec kommer även paket som inte är tillgängliga för registrerade policyer att skickas och tas emot. Avmarkera kryssrutan om du inte vill skicka/ta emot paket som inte är tillgängliga för policyerna.
6
Gör en maskinvaruåterställning.
Klicka på [Enhetskontroll], välj [Hård återställning] och klicka sedan på [Utför].
Inställningarna aktiveras när du har gjort en maskinvaruåterställning.
|
|
Använda kontrollpanelenDu kan även aktivera eller inaktivera IPSec-kommunikation på kontrollpanelens inställningsmeny. IPSec
|