深圳國(guó)威電子有限公司
國(guó)威HB300數(shù)字IP程控交換機(jī),IPsec,安全協(xié)議配置步驟說(shuō)明
首先我們需要了解什么是IPsec?
IPsec(Internet Protocol Security)即Intenet安全協(xié)議,是IETF提供Internet安全通信的一系列規(guī)范,它為IP數(shù)據(jù)報(bào)文提供了高質(zhì)量﹑可互操作的﹑基于密碼學(xué)的安全功能。特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證等方式,來(lái)保證數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)上傳輸時(shí)的私有性﹑完整性和安全性。
國(guó)威HB300數(shù)字程控交換機(jī)作為IPsec VPN服務(wù)器,配置步驟如下:
步驟 1 在Ipsec策略頁(yè)面添加策略。
步驟 2 在Ipsec應(yīng)用頁(yè)面查看添加的策略,對(duì)策略進(jìn)行修改、刪除操作。
步驟 3 在IPsec狀態(tài)頁(yè)面查看已啟用的策略,對(duì)策略進(jìn)行連接或斷開(kāi)操作。
步驟 4 在IPsec日志頁(yè)面查看進(jìn)行IPsec連接、斷開(kāi)的相關(guān)日志。
選擇“VPN配置>IPSec,單擊<IPSec策略>標(biāo)簽,進(jìn)入“IPSec策略頁(yè)面”如下圖所示。
IPsec策略說(shuō)明如下:
界面項(xiàng) | 說(shuō)明 |
IPsec策略 | 通過(guò)設(shè)置IPsec策略,在本端和對(duì)端之間建立一個(gè)安全通道。 |
策略名 | 自定義該策略名稱(chēng),可輸入1-32位字符。 |
策略狀態(tài) | 可選“啟用”或“禁用”。 |
策略類(lèi)型 | Lan to Lan:用于兩臺(tái)設(shè)備的對(duì)接; Remote Access:用于PC與本產(chǎn)品的對(duì)接。 |
綁定接口 | 指定該安全通道的本地接口。可選項(xiàng)為當(dāng)前可用的WAN5口。 |
對(duì)端地址 | 指定該安全通道連接的對(duì)端地址,可設(shè)置為IP地址或域名。 |
本地子網(wǎng) | 指定該安全通道的本地網(wǎng)段。 |
對(duì)端子網(wǎng) | 指定該安全通道連接的對(duì)端網(wǎng)段。 |
IKE(Internal密鑰交換)說(shuō)明如下:
界面項(xiàng) | 說(shuō)明 |
IKE(Internal密鑰交換) | 配置IKE,IKE使用了兩個(gè)階段為IPsec進(jìn)行密鑰協(xié)商并建立 SA。 |
交換模式 | 選擇第一階段的交換模式,可選“Main”或“Aggressive”。 Main模式和Aggressive模式交換的主要差別在于, Aggressive交換不提供身份保護(hù),只交換3條消息。在對(duì)身份 保護(hù)要求不高的場(chǎng)合,使用Aggressive模式可以提高協(xié)商的速 度;在對(duì)身份保護(hù)要求較高的場(chǎng)合,應(yīng)使用Main模式。 |
交換方向 | 選擇“發(fā)起”,本端為IKE協(xié)商的發(fā)起端;選擇“接收”,本 端為IKE協(xié)商的響應(yīng)端。 |
驗(yàn)證方式 | 設(shè)置通信雙方的身份驗(yàn)證方式,可選“Pre-shared Key(預(yù) 共享密鑰)”或“RSA Signature(數(shù)字簽名)”。 |
開(kāi)啟DH組 | 選中單選框,開(kāi)啟DH組,可選“組2(1024位)”或“組5 (1536位)”。 |
啟用DPD | 選中單選框,啟用DPD功能; 間隔時(shí)間:設(shè)置多長(zhǎng)時(shí)間沒(méi)有從對(duì)端收到IPsec報(bào)文,則觸發(fā) DPD查詢(xún)。默認(rèn)值為30秒,取值范圍: 1~180秒; 超時(shí)時(shí)間:發(fā)送DPD查詢(xún)后,設(shè)置多長(zhǎng)時(shí)間沒(méi)有收到DPD應(yīng) 答,則刪除IKE SA和相應(yīng)的IPsec SA。默認(rèn)值“120秒”, 取值范圍1~600秒。 |
第一階段配置說(shuō)明如下:
界面項(xiàng) | 說(shuō)明 |
第一階段 | 配置第一階段,通信各方彼此間建立了一個(gè)已通過(guò)身份認(rèn)證和安全保護(hù)的通道,即建立一個(gè)IKE SA。 |
本地ID類(lèi)型 | IKE第一階段的協(xié)商過(guò)程中本端設(shè)備使用的ID類(lèi)型,用來(lái)給對(duì) 端標(biāo)識(shí)自己的身份。可選“IP地址”或“域名”。 |
本地ID | 類(lèi)型選擇“IP地址”,設(shè)置IP地址;類(lèi)型選擇“域名”,設(shè)置域名。 |
對(duì)端ID類(lèi)型 | IKE第一階段的協(xié)商過(guò)程中對(duì)端設(shè)備使用的ID類(lèi)型。可選“IP 地址”或“域名”; 兩臺(tái)對(duì)接設(shè)備之間,一臺(tái)設(shè)備設(shè)置的本端ID與另一臺(tái)設(shè)備設(shè)置 的對(duì)端ID應(yīng)該保持一致。 |
對(duì)端ID | 類(lèi)型選擇“IP地址”,設(shè)置IP地址;類(lèi)型選擇“域名”,設(shè)置域名。 |
加密算法 | DES(Data Encryption Standard):使用64bit的密鑰對(duì)報(bào)文塊進(jìn)行加密; 3DES(Triple DES):使用三個(gè)64bit的DES密鑰對(duì)報(bào)文塊進(jìn)行加密; AES(Advanced Encryption Standard):本產(chǎn)品支持 128bit﹑192bit﹑256bit密鑰長(zhǎng)度的AES算法; 默認(rèn)值為“DES”。 |
驗(yàn)證算法 | MD5:MD5通過(guò)輸入任意長(zhǎng)度的消息,產(chǎn)生128bit的消息摘要; SHA1:SHA1通過(guò)輸入長(zhǎng)度小于2的64次方bit的消息,產(chǎn)生 160bit的消息摘要,SHA1的摘要長(zhǎng)于MD5,因而更安全的; 默認(rèn)值為“MD5”。 |
IKE SA生存周期 | 在設(shè)置的IKE SA生存周期超時(shí)前,會(huì)提前協(xié)商一個(gè)SA來(lái)替換 舊的SA,在新的SA還沒(méi)有協(xié)商完之前,依然使用舊的SA,在 新的SA建立后,將立即使用新的SA,而舊的SA在生存周期超 時(shí)后,被自動(dòng)刪除; 默認(rèn)值“3600秒”,取值范圍: 1200~86400秒。 |
第二階段配置說(shuō)明如下:
界面項(xiàng) | 說(shuō)明 |
第二階段 | 配置第二階段,用第一階段建立的SA為IPsec協(xié)商安全服務(wù), 即為IPsec協(xié)商具體的SA,建立用于最終的IP數(shù)據(jù)報(bào)文安全傳 輸?shù)腎Psec SA。 |
封裝模式 | Tunnel: 在隧道模式下,AH或ESP插在原始IP報(bào)文頭之前, 另外生成一個(gè)新的報(bào)文頭放到AH或ESP之前; Transport:在傳輸模式下,AH或ESP被插入到IP報(bào)文頭之 后,但在所有傳輸層協(xié)議之前,或所有其他IPsec協(xié)議之前; 默認(rèn)值為“Tunnel模式”。 |
協(xié)議類(lèi)型 | AH:AH是認(rèn)證頭協(xié)議,協(xié)議號(hào)為51。主要提供的功能有數(shù)據(jù) 源認(rèn)證﹑數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重發(fā)功能; ESP:ESP是報(bào)文安全封裝協(xié)議,協(xié)議號(hào)為50。與AH協(xié)議不 同的是,ESP將需要保護(hù)的數(shù)據(jù)報(bào)文進(jìn)行加密后再封裝到IP包 中,以保證數(shù)據(jù)的機(jī)密性; 默認(rèn)值為“ESP”。 |
加密算法 | 可選DES﹑3DES﹑AES128﹑AES192﹑AES256,默認(rèn)值為“ DES”。 |
驗(yàn)證算法 | 可選MD5或SHA1,默認(rèn)值為“MD5”。 |
IPsec SA生存周期 | 設(shè)置IPsec SA的生存周期,超過(guò)設(shè)置時(shí)間,需要重新協(xié)商IPsec SA; 默認(rèn)值“28800秒”,取值范圍: 1200~86400秒。 |
完美前向保密 | 選中單選框,啟用完美前向保密; 啟用該功能后連接的時(shí)間會(huì)加長(zhǎng)但保密性更好。 |
啟用壓縮 | 需要壓縮IPsec的報(bào)頭則選擇此項(xiàng)。 |
保存 | 單擊<保存>按鈕新增Ipsec策略,顯示于Ipsec應(yīng)用頁(yè)面。 |
根據(jù)以上步驟,完成國(guó)威HB300數(shù)字IP程控交換機(jī)的安全協(xié)議的配置。
深圳國(guó)威電子有限公司 | 快速導(dǎo)航 | 國(guó)威廠家售后技術(shù)服務(wù) | 國(guó)威廠家售前方案服務(wù) | 微信掃一掃,了解項(xiàng)目解決方案
| |
| 廣東省深圳市羅湖區(qū)蓮塘羅沙路3038號(hào)國(guó)威大廈 | 首頁(yè) | 產(chǎn)品中心 | 工作日上午:8:30-12:00 | 工作日上午:8:30-12:00 | |
| 電話(huà):0755-86662592 | 方案安裝 | 下載專(zhuān)區(qū) | 工作日下午:13:30-18:00 | 工作日下午:13:30-18:00 | |
| 傳真:0755-86662591 | 關(guān)于我們 | 聯(lián)系我們 | 國(guó)威服務(wù)電話(huà):400-800-5056 | 手機(jī):13368362110 | |
| 手機(jī):13368362110 | 更多方案 | 更多設(shè)置 | 國(guó)威服務(wù)電話(huà):0755-86662590 | 電話(huà):0755-86662592 | |
| 郵箱:gw@gwtx.com.cn | 國(guó)威天貓旗艦店 | 國(guó)威京東旗艦店 | 國(guó)威技術(shù)郵箱:hf@gwtx.com.cn | 郵箱:hcj@gwtx.com.cn | |