Menggunakan IPSec

Gunakan Protokol Keselamatan IP (IPSec) untuk mencegah intipan dan pengubahan paket IP dihantar dan diterima melalui rangkaian IP. Ini menjalankan penyulitan pada peringkat protokol IP untuk memastikan keselamatan tanpa bergantung pada aplikasi atau konfigurasi rangkaian.

Syarat dan Mod yang Disokong Terpakai untuk IPSec

Paket di mana IPSec tidak terpakai
Paket yang menentukan alamat loopback, multicast, atau siaran
Paket IKE dihantar dari port UDP 500
Paket Pengumpanan Jiran ICMPv6 dan Pengiklanan Jiran
Mod operasi protokol pertukaran kekunci (mod IKE)
Mod IKE yang disokong oleh mesin hanyalah mod utama yang digunakan untuk menyulitkan paket. Mod agresif tanpa penyulitan adalah tidak disokong.
Mod komunikasi
Mod komunikasi yang disokong oleh mesin hanyalah mod pengangkutan, yang menyulitkan hanya bahagian tidak termasuk pengepala IP. Mod terowong, yang menyulitkan keseluruhan paket IP, adalah tidak disokong.
Menggunakan IPSec bersama dengan penapisan alamat IP
Tetapan penapis alamat IP diterapkan terlebih dahulu. Menetapkan Tembok Api

Konfigurasi Dasar IPSec

Untuk menjalankan komunikasi IPSec pada mesin, anda mesti mewujudkan dasar IPSec yang merangkumi julat dan algoritma yang berkenaan untuk pengesahan dan penyulitan. Dasar ini terdiri daripada item berikut.
Pemilih
Menentukan paket IP yang mana untuk menggunakan komunikasi IPSec. Selain daripada menentukan alamat IP mesin dan peranti yang berkomunikasi, anda juga boleh menentukan nombor portnya.
IKE
Protokol pertukaran kekunci menyokong Pertukaran Kekunci Internet Versi 1 (IKEv1). Bagi kaedah pengesahan, pilih kaedah kekunci prakongsi atau kaedah tandatangan digital.
Kaedah Kekunci Prakongsi:
Kaedah pengesahan ini menggunakan kata kunci biasa, yang dipanggil Kekunci Kongsi, untuk komunikasi antara mesin dan peranti lain.
Kaedah Tandatangan Digital
Mesin dan peranti lain mengesahkan satu sama lain dengan saling mengesahkan tandatangan digital mereka.
ESP/AH
Menentukan tetapan untuk ESP/AH, yang merupakan protokol yang digunakan untuk komunikasi IPSec. ESP dan AH boleh digunakan pada masa yang sama. Gunakan Kerahsiaan Majukan Sempurna (PFS) untuk keselamatan yang lebih baik.

Menetapkan IPSec

Dayakan penggunaan IPSec, dan kemudian cipta dan daftarkan dasar IPSec. Jika beberapa dasar telah dibuat, tentukan urutan ia digunakan.
Bahagian ini menerangkan cara mengkonfigurasi tetapan menggunakan UI Jarak Jauh dari komputer.
Di panel operasi, tekan [Menu] di skrin [Rumah], dan kemudian pilih [Keutamaan] untuk mengkonfigurasi tetapan ini. Walau bagaimanapun, panel operasi ini hanya boleh digunakan untuk mendayakan atau menyahdayakan IPSec. [Guna IPSec]
Hak istimewa pentadbir diperlukan. Mesin ini mesti dimulakan semula untuk menggunakan tetapan ini.
Persediaan Yang Diperlukan
Sambungkan mesin terus ke komputer di rangkaian peribadi maya (VPN) yang sama dengan mesin. Sahkan keadaan operasi, dan selesaikan tetapan pada komputer terlebih dahulu. IPSec
Sediakan yang berikut mengikut kaedah pengesahan IKE:
Apabila menggunakan kaedah kekunci prakongsi, dayakan TLS untuk komunikasi UI Jarak Jauh. Menggunakan TLS
Apabila menggunakan kaedah tandatangan digital, sediakan kekunci dan sijil untuk digunakan. Menguruskan dan Mengesahkan Kekunci dan Sijil
Apabila menggunakan PFS, semak bahawa PFS didayakan pada peranti yang berkomunikasi.
1
Log masuk ke UI Jarak Jauh dalam Mod Pengurus Sistem. Memulakan UI Jarak Jauh
2
Di halaman Portal UI Jarak Jauh, klik [Settings/Registration]. Halaman Portal UI Jarak Jauh
3
Klik [Network Settings] [IPSec Settings] [Edit].
Skrin [Edit IPSec Settings] dipaparkan.
4
Pilih kotak semak [Use IPSec], dan klik [OK].
Untuk hanya menerima paket yang memenuhi dasar, kosongkan kotak semak [Receive Non-Policy Packets].
5
Klik [Register New Policy].
Skrin [Register New IPSec Policy] dipaparkan.
6
Di [Policy Settings], masukkan nama dasar, dan pilih kotak semak [Enable Policy].
Untuk nama dasar, masukkan nama untuk mengenal pasti dasar menggunakan aksara abjad angka bait tunggal.
7
Di [Selector Settings], tetapkan pemilih.
[Local Address Settings]
Pilih jenis alamat IP mesin untuk dasar digunakan.
Untuk menggunakan IPSec kepada semua paket IP, pilih [All IP Addresses].
Untuk menggunakan IPSec kepada paket IP yang dihantar dan diterima menggunakan alamat IPv4 atau IPv6, pilih [IPv4 Address] atau [IPv6 Address].
[Remote Address Settings]
Pilih jenis alamat IP peranti yang berkomunikasi untuk dasar digunakan.
Untuk menggunakan IPSec kepada semua paket IP, pilih [All IP Addresses].
Untuk menggunakan IPSec kepada paket IP yang dihantar dan diterima menggunakan alamat IPv4 atau IPv6, pilih [All IPv4 Addresses] atau [All IPv6 Addresses].
Untuk menentukan alamat IPv4 atau IPv6 yang menggunakan IPSec, pilih [IPv4 Manual Settings] atau [IPv6 Manual Settings].
[Addresses to Set Manually]
Apabila [IPv4 Manual Settings] atau [IPv6 Manual Settings] dipilih, masukkan alamat IP. Anda juga boleh menentukan julat alamat IP dengan menggunakan tanda sempang (-).
Contoh input:
Satu alamat IPv4
192.168.0.10
Satu alamat IPv6
fe80::10
Spesifikasi julat
192.168.0.10-192.168.0.20
[Subnet Settings]
Apabila [IPv4 Manual Settings] dipilih, anda boleh menggunakan topeng subnet untuk menentukan julat alamat IPv4.
Contoh input:
255.255.255.240
[Prefix Length]
Apabila [IPv6 Manual Settings] dipilih, anda boleh menggunakan panjang awalan untuk menentukan julat alamat IPv6. Masukkan panjang awalan dengan julat 0 hingga 128.
[Port Settings]
Tetapkan port tempat IPSec digunakan di [Local Port] pada mesin dan [Remote Port] pada peranti yang berkomunikasi.
Untuk menggunakan IPSec kepada semua nombor port, pilih [All Ports].
Untuk menggunakan IPSec kepada protokol khusus seperti HTTP atau WSD, pilih [Single Port], dan masukkan nombor port protokol.
8
Di [IKE Settings], tetapkan IKE.
[IKE Mode]
Mesin ini hanya menyokong mod utama.
[Authentication Method]
Pilih kaedah pengesahan mesin.
Apabila [Pre-Shared Key Method] dipilih, klik [Shared Key Settings] masukkan rentetan untuk digunakan sebagai kekunci kongsi menggunakan aksara abjad angka bait tunggal klik [OK].
Apabila [Digital Signature Method] dipilih, klik [Key and Certificate] [Register Default Key] di sebelah kanan kekunci dan sijil untuk digunakan.
[Validity]
Masukkan tempoh sah IKE SA (ISAKMP SA) untuk digunakan sebagai laluan komunikasi kawalan dalam minit.
[Authentication/Encryption Algorithm]
Pilih algoritma untuk digunakan bagi pertukaran kekunci.
9
Di [IPSec Network Settings], konfigurasikan tetapan rangkaian IPSec.
[Use PFS]
Pilih kotak semak ini untuk mengkonfigurasi PFS bagi kekunci sesi.
[Validity]
Tentukan tempoh sah IPSec SA untuk digunakan sebagai laluan komunikasi data mengikut masa, saiz, atau kedua-duanya.
Apabila kotak semak [Specify by Time] dipilih, masukkan tempoh sah dalam minit.
Apabila kotak semak [Specify by Size] dipilih, masukkan tempoh sah dalam megabait.
Apabila kedua-duanya dipilih, item yang nilainya ditentukan pertama dicapai akan digunakan.
[Authentication/Encryption Algorithm]
Pilih kotak semak ini mengikut pengepala IPSec (ESP dan AH) yang akan digunakan dan algoritmanya.
[ESP Authentication]
Apabila [ESP] dipilih, pilih algoritma pengesahan. Untuk menjalankan pengesahan ESP, pilih [SHA1]. Jika tidak, pilih [Do Not Use].
[ESP Encryption]
Apabila [ESP] dipilih, pilih algoritma penyulitan. Jika anda tidak mahu menentukan algoritma ini, pilih [NULL]. Untuk menyahdayakan penyulitan, pilih [Do Not Use].
[Connection Mode]
Mesin ini hanya menyokong mod pengangkutan.
10
Klik [OK].
Dasar baru yang didaftarkan ditambahkan ke [Registered IPSec Policies] di skrin [IPSec Settings].
Apabila beberapa dasar didaftarkan
Klik [Up] atau [Down] di sebelah kanan nama dasar untuk menetapkan keutamaan. Dasar tahap tinggi mempunyai keutamaan dalam penggunaan kepada komunikasi IPSec.
11
Mula semula mesin. Memulakan semula Mesin
Tetapan telah digunakan.
Mengedit Dasar Yang Didaftarkan
Untuk mengedit maklumat yang didaftarkan, klik nama dasar yang anda mahu edit di [Registered IPSec Policies] di skrin [IPSec Settings].
8KKC-087