Konfigurera IPSec-inställningar
Internet Protocol Security (IPSec eller IPsec) är en protokollsvit för kryptering av data som överförs över ett nätverk, däribland Internet-nätverk. Medan TLS endast krypterar data som används i ett visst program, t.ex. en webbläsare eller ett e-postprogram, krypterar IPSec antingen hela IP-paket eller nyttolasten i IP-paket, vilket gör IPSec till ett mer användbart säkerhetssystem. IPSec för enheten arbetar i transportläge där nyttolasten i IP-paket krypteras. Med den här funktionen kan enheten anslutas direkt till en dator som finns i samma virtuella privata nätverk (VPN). Kontrollera systemkraven (Hanteringsfunktioner) och ställ in nödvändig konfiguration på datorn innan du konfigurerar enheten.
/b_C231_L.gif)
|
|
Använda IPSec med IP-adressfilterIP-adressens filterinställningar används före IPSec-principen. Ange IP-adresser för brandväggsinställningar
|
Konfigurera IPSec-inställningar
Innan du använder IPSec för krypterad kommunikation måste du registrera säkerhetsprinciper (SP). En säkerhetsprincip består av de inställningsgrupper som beskrivs nedan. När du har registrerat principerna anger du i vilken ordning de ska användas.
Väljare
Väljare anger villkor för IP-paket när du ska använda IPSec-kommunikation. Valbara villkor är enhetens IP-adresser och portnummer samt de enheter som man ska kommunicera med.
IKE
IKE konfigurerar den IKEv1 som används för nyckelutbytesprotokoll. Anvisningarna varierar beroende på vilken autentiseringsmetod som valts.
[Metod för i förväg delad nyckel]
Den här autentiseringsmetoden använder en gemensam nyckel, en så kallad delad nyckel, för kommunikation mellan den här enheten och andra enheter. Aktivera TLS för fjärranvändargränssnittet innan du anger den här autentiseringsmetoden (Konfigurera nyckel och certifikat för TLS).
Den här autentiseringsmetoden använder en gemensam nyckel, en så kallad delad nyckel, för kommunikation mellan den här enheten och andra enheter. Aktivera TLS för fjärranvändargränssnittet innan du anger den här autentiseringsmetoden (Konfigurera nyckel och certifikat för TLS).
[Digital signaturmetod]
Enheten och andra enheter autentiserar varandra genom att gemensamt verifiera sina digitala signaturer. Skapa eller installera nyckel och certifikat i förväg (Registrera nyckel och certifikat för nätverkskommunikation).
Enheten och andra enheter autentiserar varandra genom att gemensamt verifiera sina digitala signaturer. Skapa eller installera nyckel och certifikat i förväg (Registrera nyckel och certifikat för nätverkskommunikation).
AH/ESP
Ange inställningar för AH/ESP, som läggs till i paketen under IPSec-kommunikation. AH och ESP kan användas samtidigt. Du kan också välja om PFS ska aktiveras för ökad säkerhet.
|
|
|
Mer information om grundläggande åtgärder som ska utföras för att konfigurera enheten från fjärranvändargränssnittet finns i Ställa in menyalternativ från Fjärranvändargränssnittet.
|
1
Starta fjärranvändargränssnittet och logga in i systemhanteringsläge. Starta Fjärranvändargränssnittet
2
Klicka på [Inställningar/Registrering] på portalsidan. Fjärranvändargränssnittets skärm
3
Välj [Nätverksinställningar] /b_key_arrow_right.gif)
[IPSec-inställningar].
[IPSec-inställningar].4
Klicka på [Redigera].
5
Markera kryssrutan [Använd IPSec] och klicka på [OK].
Om du vill att enheten bara ska ta emot paket som matchar en av säkerhetsprinciperna som du anger i stegen nedan avmarkerar du kryssrutan [Ta emot paket utan principer].
6
Klicka på [Registrera ny princip].
7
Ange principinställningarna.
/b_rui081.gif)
|
1
|
I textrutan [Principnamn] skriver du alfanumeriska tecken för att ange ett namn som ska användas för att identifiera principen.
|
|
2
|
Markera kryssrutan [Aktivera princip].
|
8
Ange väljarinställningarna.
/b_rui082.gif)
[Lokal adress]
Klicka på alternativknappen för den typ av IP-adress för enheten som principen ska användas på.
Klicka på alternativknappen för den typ av IP-adress för enheten som principen ska användas på.
|
[Alla IP-adresser]
|
Välj det här alternativet om du vill använda IPSec för alla IP-paket.
|
|
[IPv4-adress]
|
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från enhetens IPv4-adress.
|
|
[IPv6-adress]
|
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från enhetens IPv6-adress.
|
[Fjärradress]
Klicka på alternativknappen för den typ av IP-adress för de andra enheterna som principen ska användas på.
Klicka på alternativknappen för den typ av IP-adress för de andra enheterna som principen ska användas på.
|
[Alla IP-adresser]
|
Välj det här alternativet om du vill använda IPSec för alla IP-paket.
|
|
[Alla IPv4-adresser]
|
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från IPv4-adresser för andra enheter.
|
|
[Alla IPv6-adresser]
|
Markera det här alternativet om du vill använda IPSec för alla IP-paket som skickas till och från IPv6-adresser för andra enheter.
|
|
[Manuella IPv4-inställningar]
|
Välj det här alternativet om du vill ange en enstaka IPv4-adress eller ett intervall av IPv4-adresser som IPSec ska användas på. Ange IPv4-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
|
|
[Manuella IPv6-inställningar]
|
Välj det här alternativet om du vill ange en enstaka IPv6-adress eller ett intervall av IPv6-adresser som IPSec ska användas på. Ange IPv6-adressen (eller intervallet) i textrutan [Adresser att ange manuellt].
|
[Adresser att ange manuellt]
Om [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] har valts för [Fjärradress], anger du IP-adressen som principen ska användas på. Du kan också ange ett adressintervall genom att infoga ett bindestreck mellan adresserna.
Om [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] har valts för [Fjärradress], anger du IP-adressen som principen ska användas på. Du kan också ange ett adressintervall genom att infoga ett bindestreck mellan adresserna.
Ange IP-adresser
|
Beskrivning
|
Exempel
|
|
|
Ange en enstaka adress
|
IPv4:
Avgränsa tal med punkter. |
192.168.0.10
|
|
IPv6:
Avgränsa alfanumeriska tecken med kolon. |
fe80::10
|
|
|
Ange ett adressintervall
|
Infoga ett bindestreck mellan adresserna.
|
192.168.0.10-192.168.0.20
|
[Delnätsinställningar]
När du anger en IPv4-adress manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
När du anger en IPv4-adress manuellt kan du uttrycka intervallet genom att använda delnätsmasken. Använd punkter i delnätsmasken för att avgränsa talen (exempel:"255.255.255.240").
[Prefixlängd]
När du specificerar IPv6-adresser manuellt kan du specificera intervallet genom att använda prefix. Ange ett intervall mellan 0 och 128 som prefixlängd.
När du specificerar IPv6-adresser manuellt kan du specificera intervallet genom att använda prefix. Ange ett intervall mellan 0 och 128 som prefixlängd.
[Lokal port]/[Fjärrport]
Om du vill skapa separata principer för varje protokoll, till exempel HTTP eller WSD, klickar du på alternativknappen [Enkel port] och anger portnumret för protokollet för att bestämma om IPSec ska användas.
Om du vill skapa separata principer för varje protokoll, till exempel HTTP eller WSD, klickar du på alternativknappen [Enkel port] och anger portnumret för protokollet för att bestämma om IPSec ska användas.
IPSec används inte för följande paket
Loopback-, multicast- och sändningspaket
IKE-paket (som använder UDP på port 500)
ICMPv6-granninbjudan- och grannannonseringspaket
9
Ange IKE-inställningarna.
/b_rui083.gif)
[IKE-läge]
Det läge visas som används för nyckelutbytesprotokollet. Enheten har stöd för huvudläge och inte aggressivt läge.
Det läge visas som används för nyckelutbytesprotokollet. Enheten har stöd för huvudläge och inte aggressivt läge.
[Verifieringsmetod]
Välj [Metod för i förväg delad nyckel] eller [Digital signaturmetod] för den metod som ska användas vid autentisering av enheten. Du måste aktivera TLS för fjärranvändargränssnittet innan du väljer [Metod för i förväg delad nyckel]. Du måste skapa eller installera en nyckel och ett certifikat innan du väljer [Digital signaturmetod]. Konfigurera nyckel och certifikat för TLS
Välj [Metod för i förväg delad nyckel] eller [Digital signaturmetod] för den metod som ska användas vid autentisering av enheten. Du måste aktivera TLS för fjärranvändargränssnittet innan du väljer [Metod för i förväg delad nyckel]. Du måste skapa eller installera en nyckel och ett certifikat innan du väljer [Digital signaturmetod]. Konfigurera nyckel och certifikat för TLS
[Giltig i]
Ange hur länge en session ska vara för IKE SA (ISAKMP SA). Ange tiden i minuter.
Ange hur länge en session ska vara för IKE SA (ISAKMP SA). Ange tiden i minuter.
[Verifiering]/[Kryptering]/[DH-grupp]
Välj en algoritm i listrutan. Varje algoritm används i nyckelutbytet.
Välj en algoritm i listrutan. Varje algoritm används i nyckelutbytet.
|
[Verifiering]
|
Välj hash-algoritm.
|
|
[Kryptering]
|
Välj krypteringsalgoritm.
|
|
[DH-grupp]
|
Välj Diffie-Hellman-gruppen som bestämmer nyckellängden.
|
Autentisera en enhet med en i förväg delad nyckel
|
1
|
Klicka på alternativknappen [Metod för i förväg delad nyckel] för [Verifieringsmetod] och sedan på [Inställningar för delad nyckel].
|
|
2
|
Använd alfanumeriska tecken och ange den i förväg delade nyckeln och klicka sedan på [OK].
|
|
3
|
Ange inställningar för [Giltig i] och [Verifiering]/[Kryptering]/[DH-grupp].
|
Autentisera en enhet med metoden med digital signatur
|
1
|
Klicka på alternativknappen [Digital signaturmetod] för [Verifieringsmetod] och sedan på [Nyckel och certifikat].
|
|
2
|
Klicka på [Registrera standardnyckel] till höger om nyckeln och certifikatet som du vill använda.
Visa information om ett certifikat
Du kan kontrollera information om certifikatet eller verifiera certifikatet genom att klicka på motsvarande textlänk under [Nyckelnamn] eller på certifikatikonen.
|
|
3
|
Ange inställningar för [Giltig i] och [Verifiering]/[Kryptering]/[DH-grupp].
|
10
Ange IPSec-nätverksinställningar.
/b_rui086.gif)
[Använd PFS]
Markera kryssrutan för att aktivera PFS (Perfect Forward Secrecy) för IPSec-sessionsnycklar. Om du aktiverar PFS utökas säkerheten och samtidigt ökar kommunikationsbelastningen. Kontrollera att PFS också aktiverats för de andra enheterna.
Markera kryssrutan för att aktivera PFS (Perfect Forward Secrecy) för IPSec-sessionsnycklar. Om du aktiverar PFS utökas säkerheten och samtidigt ökar kommunikationsbelastningen. Kontrollera att PFS också aktiverats för de andra enheterna.
[Ange efter tid]/[Ange efter format]
Ange villkoren för att avbryta en session för IPSec SA. IPSec SA används som en kommunikationstunnel. Markera en eller båda kryssrutorna. Om båda kryssrutorna har markerats avbryts IPSec SA-sessionen när något av villkoren uppfylls.
Ange villkoren för att avbryta en session för IPSec SA. IPSec SA används som en kommunikationstunnel. Markera en eller båda kryssrutorna. Om båda kryssrutorna har markerats avbryts IPSec SA-sessionen när något av villkoren uppfylls.
|
[Ange efter tid]
|
Ange en tid i minuter för hur länge en session ska vara.
|
|
[Ange efter format]
|
Ange i MB hur mycket data som kan överföras under en session.
|
[Välj algoritm]
Markera kryssrutorna [ESP], [ESP (AES-GCM)] eller [AH (SHA1)] beroende på vilket IPSec-huvud och vilken algoritm som används. AES-GCM är en algoritm för både autentisering och kryptering. Om [ESP] valts väljer du också algoritmer för autentisering och kryptering i listrutorna [ESP-verifiering] och [ESP-kryptering].
Markera kryssrutorna [ESP], [ESP (AES-GCM)] eller [AH (SHA1)] beroende på vilket IPSec-huvud och vilken algoritm som används. AES-GCM är en algoritm för både autentisering och kryptering. Om [ESP] valts väljer du också algoritmer för autentisering och kryptering i listrutorna [ESP-verifiering] och [ESP-kryptering].
|
[ESP-verifiering]
|
Om du vill aktivera ESP-autentisering väljer du [SHA1] för hash-algoritmen. Välj [Använd inte] om du vill inaktivera ESP-autentiseringen.
|
|
[ESP-kryptering]
|
Välj krypteringsalgoritm för ESP. Du kan välja [NULL] om du inte vill ange algoritm, eller välja [Använd inte] om du vill inaktivera ESP-kryptering.
|
[Anslutningsläge]
Anslutningsläget för IPSec visas. Enheten har stöd för transportläge där nyttolasten i IP-paket krypteras. Tunnelläge, där hela IP-paket (huvud och nyttolast) kapslas in, är inte tillgängligt.
Anslutningsläget för IPSec visas. Enheten har stöd för transportläge där nyttolasten i IP-paket krypteras. Tunnelläge, där hela IP-paket (huvud och nyttolast) kapslas in, är inte tillgängligt.
11
Klicka på [OK].
Om du måste registrera ytterligare säkerhetsprinciper går du tillbaka till steg 6.
12
Ordna principerna som visas under [Registrerade IPSec-principer].
Principerna används i ordning från högsta till lägsta position. Klicka på [Upp] eller [Ned] för att flytta upp eller ner en princip.
/b_rui087.gif)
Redigera en policy
Klicka på motsvarande textlänk under [Principnamn] för att öppna redigeringsskärmen.
Ta bort en policy
Klicka på [Ta bort] till höger om det policynamn du vill ta bort klicka på [OK].
klicka på [OK].13
Starta om enheten.
Stäng av enheten och vänta i minst 10 sekunder innan du slår på den igen.
|
|
Använda kontrollpanelenDu kan också aktivera eller inaktivera IPSec-kommunikation från <Meny> på skärmen Hem. <Använd IPSec>
|