IPSEC配置界面

IPSEC 配置界面

1. 界面配置

---

2. 参数说明

---

IPSec安全策略设置

您可以通过本页面设置IPSec安全策略，安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略设置分为必要设置和高级设置两个部分，其中高级设置是可选部分。

• 必要设置

对于新建的安全策略，必要设置是必须提供的，不能省略。

• 安全策略名称

设置IPSec安全策略的名称，名称最多支持32个字符。

• 对端网关

设置对端网关，可以填写对端的IP地址或域名，作为响应者的时候可以将对端网关设为“0.0.0.0”,表示对端地址可以任意。

• 绑定接口

本地子网范围

设置受保护的数据流的本地子网范围，由IP地址和子网掩码来确定。

• 对端子网范围

设置受保护的数据流的对端子网范围，由IP地址和子网掩码来确定。

• 预共享密钥

对于每对<绑定接口，对端网关>，都必须指定唯一的预共享密钥作为它们之间相互认证的凭证。

• 状态

设置勾选启用时，当前策略生效。

高级设置

高级设置包括两个部分：阶段1设置和阶段2设置。一般地，用户不需要配置高级设置，采用默认值即可。

• 高级设置-阶段1设置

设定IKEv1的第一阶段的相关参数

• 安全提议

用于IKE协商方式下选择IPSec安全提议，在IKE协商模式下可以最多选择四条不同安全提议，主模式协商可以选择4条，野蛮模式协商可以选择1条。

• 交换模式

IKEv1版本支持两种模式：主模式和野蛮模式，默认是选择主模式。

• 协商模式

初始者模式会主动向对端发起连接，此时要求对端网关是路由可达，而响应者模式仅仅会等待对端发起连接。

• 本地ID类型

作为对端的身份标识，支持两种类型：IP地址和NAME，默认选择"IP地址",如果选择NAME类型，则需要输入任意的字符串。

• 本地ID

仅仅在本地ID类型选择NAME的时候生效，用于存储用户输入对应的字符串。

• 对端ID类型

作为对端的身份标识，支持两种类型：IP地址和NAME，默认选择"IP地址",如果选择NAME类型，则需要输入任意的字符串。

• 对端ID

仅仅在对端ID类型选择NAME的时候生效，用于存储用户输入对应的字符串。

• 生存时间

用于IKE协商方式下设置第一阶段IPSec会话密钥的生存时间。

• DPD检测开启

选择是否开启DPD检测功能，开启该功能会定时发送DPD数据包以快速发现对端是否在线。

• DPD检测周期

仅在DPD检测开启启用之后生效，用于指定相邻两次发送DPD检测数据包的时间间隔。

• 高级设置-阶段2设置

设定IKEv1的第二阶段的相关参数

• 封装模式

指定该策略是隧道模式还是传输模式，两者的区别在于：前者会在原始IP报文外多增加一个IP头，后者则不会。

• 安全提议

用于IKE协商方式下选择IPSec安全提议，在IKE协商模式下可以最多选择四条不同安全提议。

• PFS

用于IKE协商方式下设置IPSec会话密钥的PFS属性，对端的PFS属性必须与本地的PFS属性一致。

• 生存时间

用于IKE协商方式下设置第二阶段IPSec会话密钥的生存时间。

• IPSec安全策略列表

您可以查看已经配置的IPSec安全策略条目，还可以通过表格按钮对条目进行操作。

3. 主要参数说明

---

• 阶段一安全提议：

md5-des-dh1
md5-des-dh2
md5-des-dh5
md5-3des-dh1
md5-3des-dh2
md5-3des-dh5
md5-aes128-dh1
md5-aes128-dh2
md5-aes128-dh5
md5-aes192-dh1
md5-aes192-dh2
md5-aes192-dh5
md5-aes256-dh1
md5-aes256-dh2
md5-aes256-dh5
sha1-des-dh1
sha1-des-dh2                                                                                                                                                                                                 
sha1-des-dh5
sha1-3des-dh1
sha1-3des-dh2
sha1-3des-dh5
sha1-aes128-dh1
sha1-aes128-dh2
sha1-aes128-dh5
sha1-aes192-dh1
sha1-aes192-dh2
sha1-aes192-dh5
sha1-aes256-dh1
sha1-aes256-dh2
sha1-aes256-dh5

• 阶段二安全提议：

ah-md5
ah-sha1
esp-md5-des
esp-md5-3des
esp-md5-aes128
esp-md5-aes192
esp-md5-aes256
esp-sha1-des
esp-sha1-3des
esp-sha1-aes128
esp-sha1-aes192
esp-sha1-aes256

• PFS：

none
dh1
dh2
dh5

4. IPSec安全联盟

---

参数说明：

IPSec安全联盟列表
0）名称
显示安全联盟的名称，一般地，该名称和安全策略名称相同。
1）SPI
显示安全联盟的SPI（Security Parameter Index，安全性参数索引），注意每一个安全联盟的SPI都不相同。
2）方向
显示安全联盟的方向（in:流入/out:流出）。
3）隧道两端
显示安全联盟的两端的网关地址。
4）数据流
显示安全联盟的两端的子网范围。
5）安全协议
显示安全联盟使用的安全协议。
6）AH验证算法
显示安全联盟使用的AH验证算法。
7）ESP验证算法
显示安全联盟使用的ESP验证算法。
8）ESP加密算法
显示安全联盟使用的ESP加密算法。