Använda IPSec
Använd IPSec (IP Security Protocol) för att förhindra avlyssning och manipulering av IP-paket som skickas och tas emot via ett IP-nätverk. Krypteringen görs på IP-protokollnivå utan att behöva förlita sig på program eller nätverkskonfiguration.
Tillämpliga villkor och lägen som stöds i IPSec
Paket för vilka IPSec inte kan användas
Paket med loopback-, multicast- eller broadcast-adresser
IKE-paket som skickas från UDP-port 500
ICMPv6 Neighbor Solicitation- och Neighbor Advertisement-paket
Funktionsläge för nyckelutbytesprotokoll (IKE-läge)
IKE-läget som stöds av enheten är endast huvudläget som används för att kryptera paket. Det aggressiva okrypterade läget stöds inte.
Kommunikationsläge
Kommunikationsläget som stöds av enheten är endast transportläget, vilket krypterar endast den del som exkluderar IP-huvudet. Tunnelläget som krypterar hela IP-paket stöds inte.
Använda IPSec med IP-adressfilter
Inställningarna för IP-adressfilter prioriteras. Konfigurera brandväggen
Konfiguration av IPSec-policy
När du vill använda IPSec-kommunikation på enheten måste du först skapa en IPSec-policy som innehåller det tillämpliga intervallet och algoritmerna för autentisering och kryptering. Policyn består i huvudsak av följande element.
Väljare
Ange vilka IP-paket som ska använda IPSec-kommunikation. Dessutom ska du ange IP-adresser till enheten och kommunicerande enheter. Du kan även ange deras portnummer.
IKE
Nyckelutbytesprotokollet stöder IKEv1 (Internet Key Exchange Version 1). Välj metoden med en i förväg delad nyckel eller digital signatur som autentiseringsmetod.
I förväg delad nyckel:
Den här autentiseringsmetoden använder ett gemensamt nyckelord, en så kallad delad nyckel, för kommunikation mellan den här enheten och andra enheter.
Den här autentiseringsmetoden använder ett gemensamt nyckelord, en så kallad delad nyckel, för kommunikation mellan den här enheten och andra enheter.
Digital signatur
Den här enheten och övriga enheter autentiserar varandra genom att gemensamt verifiera varandras digitala signaturer.
Den här enheten och övriga enheter autentiserar varandra genom att gemensamt verifiera varandras digitala signaturer.
ESP/AH
Ange inställningarna för ESP/AH som är det protokoll som används för IPSec-kommunikation. ESP och AH kan användas samtidigt. Använd PFS (Perfect Forward Secrecy) för ännu större säkerhet.
Konfigurera IPSec
Aktivera användning av IPSec och skapa och registrera sedan IPSec-policyn. Om flera policyer har skapats ska du ange prioritetsordning.
I det här avsnittet beskrivs hur du anger inställningar med fjärranvändargränssnittet på en dator.
På kontrollpanelen väljer du [Meny] på skärmen [Hem]. Välj sedan [Preferenser] för att ange inställningarna. Kontrollpanelen går dock endast att använda för att aktivera eller inaktivera IPSec. [Använd IPSec]
Du måste ha administratörsbehörighet. Enheten måste startas om för att inställningarna ska verkställas.
På kontrollpanelen väljer du [Meny] på skärmen [Hem]. Välj sedan [Preferenser] för att ange inställningarna. Kontrollpanelen går dock endast att använda för att aktivera eller inaktivera IPSec. [Använd IPSec]
Du måste ha administratörsbehörighet. Enheten måste startas om för att inställningarna ska verkställas.
Nödvändiga förberedelser |
Anslut enheten direkt till en dator i samma VPN-nätverk (Virtual Private Network) som enheten. Bekräfta användningsvillkoren och slutför inställningarna på datorn i förväg. IPSec Förbered följande i enlighet med autentiseringsmetoden IKE: Aktivera TLS för kommunikation via fjärranvändargränssnittet när du använder metoden med en i förväg delad nyckel. Använda TLS Förbered nyckeln och certifikatet som ska användas när du använder metoden med digital signatur. Hantera och verifiera nyckel och certifikat Kontrollera att PFS har aktiverats på kommunikationsenheten när PFS används. |
1
Logga in på gränssnittet för fjärranvändning i administrationsläge. Starta fjärranvändargränssnittet
2
Klicka på [Inställningar/Registrering] på fjärranvändargränssnittets portalsida. Fjärranvändargränssnittets portalsida
3
Klicka på [Nätverksinställningar] 
[IPSec-inställningar] [Redigera].
[IPSec-inställningar] [Redigera].Skärmen [Redigera IPSec-inställningar] visas.
4
Markera kryssrutan [Använd IPSec] och klicka på [OK].
Avmarkera kryssrutan [Ta emot paket utan principer] om endast paket som uppfyller policyn ska tas emot.
5
Klicka på [Registrera ny princip].
Skärmen [Registrera ny IPSec-princip] visas.
6
Ange policynamnet i [Principinställningar] och markera kryssrutan [Aktivera princip].
Använd alfanumeriska tecken (enkelbyte) och ange ett namn för att identifiera policyn.
7
Ange väljare i [Manövreringsinställningar].
[Lokala adressinställningar]
Välj enhetens typ av IP-adress som policyn ska användas för.
Välj [Alla IP-adresser] när du vill använda IPSec för alla IP-paket.
När du vill använda IPSec för IP-paket som skickas eller tas emot via en IPv4- eller IPv6-adress väljer du [IPv4-adress] eller [IPv6-adress].
[Fjärradressinställningar]
Välj kommunikationsenhetens typ av IP-adress som policyn ska användas för.
Välj [Alla IP-adresser] när du vill använda IPSec för alla IP-paket.
När du vill använda IPSec för IP-paket som skickas eller tas emot via en IPv4- eller IPv6-adress väljer du [Alla IPv4-adresser] eller [Alla IPv6-adresser].
Välj [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] när du vill ange en IPv4- eller IPv6-adress som IPSec ska användas för.
[Adresser att ange manuellt]
När du väljer [Manuella IPv4-inställningar] eller [Manuella IPv6-inställningar] anger du IP-adressen. Du kan även ange ett intervall med IP-adresser genom att använda bindestreck (-).
Exempel:
En IPv4-adress
192.168.0.10
192.168.0.10
En IPv6-adress
fe80::10
fe80::10
Specifikation av intervall
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Delnätsinställningar]
När du väljer [Manuella IPv4-inställningar] kan du använda en nätmask för att ange ett intervall med IPv4-adresser.
Inmatningsexempel:
255.255.255.240
255.255.255.240
[Prefixlängd]
När du väljer [Manuella IPv6-inställningar] kan du använda en prefixlängd för att ange ett intervall med IPv6-adresser. Ange prefixlängden i intervallet 0 till 128.
[Portinställningar]
Ange porten där IPSec ska användas i [Lokal port] på enheten och [Fjärrport] på kommunikationsenheten.
Välj [Alla portar] om du vill använda IPSec för alla portnummer.
Om du vill använda IPSec för en viss typ av protokoll, t.ex. HTTP eller WSD, väljer du [Enkel port] och anger protokollets portnummer.
8
Ange IKE i [IKE-inställningar].
[IKE-läge]
Enheten stöder endast huvudläget.
[Verifieringsmetod]
Välj autentiseringsmetod för enheten.
När du väljer [Metod för i förväg delad nyckel]: klicka på [Inställningar för delad nyckel] ange strängen som ska användas som delad nyckel med alfanumeriska tecken (enkelbyte) klicka på [OK].
ange strängen som ska användas som delad nyckel med alfanumeriska tecken (enkelbyte) klicka på [OK].När du väljer [Digital signaturmetod]: klicka på [Nyckel och certifikat] [Registrera standardnyckel] till höger om nyckeln och certifikatet som ska användas.
[Registrera standardnyckel] till höger om nyckeln och certifikatet som ska användas.[Giltighet]
Ange giltighetsperioden i minuter för IKE SA (ISAKMP SA) som ska användas som sökväg för kontrollkommunikation.
[Verifierings-/krypteringsalgoritm]
Välj algoritm för nyckelutbytet.
9
Ange IPSec-nätverksinställningarna i [IPSec-nätverksinställningar].
[Använd PFS]
Markera den här kryssrutan för att konfigurera PFS för sessionsnyckeln.
[Giltighet]
Ange giltighetsperioden i tid eller storlek, eller båda, för IPSec SA som ska användas som sökväg för datakommunikation.
När du har markerat kryssrutan [Ange efter tid] anger du giltighetsperioden i minuter.
När du har markerat kryssrutan [Ange efter format] anger du giltighetsperioden i megabyte.
Om du markerar båda gäller det inställda värde som först uppnås.
[Verifierings-/krypteringsalgoritm]
Markera den här kryssrutan i enlighet med IPSec-huvudet (ESP eller AH) som ska användas och dess algoritm.
[ESP-verifiering]
Välj autentiseringsalgoritm när [ESP] har valts. Välj [SHA1] för ESP-autentisering. Välj [Använd inte] i annat fall.
[ESP-kryptering]
Välj krypteringsalgoritm när [ESP] har valts. Välj [NULL] om du inte vill ange någon krypteringsalgoritm. Välj [Använd inte] om du vill inaktivera kryptering.
[Anslutningsläge]
Enheten stöder endast transportläget.
10
Klicka på [OK].
Den nyligen registrerade policyn läggs till i [Registrerade IPSec-principer] på skärmen [IPSec-inställningar].
När flera policyer har registrerats
Klicka på [Upp] eller [Ned] till höger om policynamnet för att ange prioritet. Policyer på högre nivå prioriteras när IPSec-kommunikation tillämpas.
11
Starta om enheten. Starta om enheten
Inställningarna verkställs.
 |
Redigera registrerade policyerNär du vill redigera registrerad information klickar du på det policynamn som du vill redigera i [Registrerade IPSec-principer] på skärmen [IPSec-inställningar]. |