IPsec策略

通過設(shè)置IPsec策略，在本端和對端之間建立一個安全通道。

策略名

自定義該策略名稱，可輸入1-32位字符。

策略狀態(tài)

可選“啟用”或“禁用”。

策略類型

Lan to Lan：用于兩臺設(shè)備的對接；

Remote Access：用于PC與本產(chǎn)品的對接。

綁定接口

指定該安全通道的本地接口?？蛇x項為當前可用的WAN5口。

對端地址

指定該安全通道連接的對端地址，可設(shè)置為IP地址或域名。

本地子網(wǎng)

指定該安全通道的本地網(wǎng)段。

對端子網(wǎng)

指定該安全通道連接的對端網(wǎng)段。

IKE（Internal密鑰交換）

配置IKE，IKE使用了兩個階段為IPsec進行密鑰協(xié)商并建立

SA。

交換模式

選擇第一階段的交換模式，可選“Main”或“Aggressive”。

Main模式和Aggressive模式交換的主要差別在于，

Aggressive交換不提供身份保護，只交換3條消息。在對身份

保護要求不高的場合，使用Aggressive模式可以提高協(xié)商的速

度；在對身份保護要求較高的場合，應使用Main模式。

交換方向

選擇“發(fā)起”，本端為IKE協(xié)商的發(fā)起端；選擇“接收”，本

端為IKE協(xié)商的響應端。

驗證方式

設(shè)置通信雙方的身份驗證方式，可選“Pre-shared Key（預

共享密鑰）”或“RSA Signature（數(shù)字簽名）”。

開啟DH組

選中單選框，開啟DH組，可選“組2（1024位）”或“組5

（1536位）”。

啟用DPD

選中單選框，啟用DPD功能；

間隔時間：設(shè)置多長時間沒有從對端收到IPsec報文，則觸發(fā)

DPD查詢。默認值為30秒，取值范圍: 1～180秒；

超時時間：發(fā)送DPD查詢后，設(shè)置多長時間沒有收到DPD應

答，則刪除IKE SA和相應的IPsec SA。默認值“120秒”， 取值范圍1～600秒。

第一階段

配置第一階段，通信各方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個IKE SA。

本地ID類型

IKE第一階段的協(xié)商過程中本端設(shè)備使用的ID類型，用來給對

端標識自己的身份?？蛇x“IP地址”或“域名”。

本地ID

類型選擇“IP地址”，設(shè)置IP地址；類型選擇“域名”，設(shè)置域名。

對端ID類型

IKE第一階段的協(xié)商過程中對端設(shè)備使用的ID類型?？蛇x“IP

地址”或“域名”；

兩臺對接設(shè)備之間，一臺設(shè)備設(shè)置的本端ID與另一臺設(shè)備設(shè)置

的對端ID應該保持一致。

對端ID

類型選擇“IP地址”，設(shè)置IP地址；類型選擇“域名”，設(shè)置域名。

加密算法

DES（Data Encryption Standard）：使用64bit的密鑰對報文塊進行加密；

3DES（Triple DES）：使用三個64bit的DES密鑰對報文塊進行加密；

AES（Advanced Encryption Standard）：本產(chǎn)品支持

128bit﹑192bit﹑256bit密鑰長度的AES算法；

默認值為“DES”。

驗證算法

MD5：MD5通過輸入任意長度的消息，產(chǎn)生128bit的消息摘要；

SHA1：SHA1通過輸入長度小于2的64次方bit的消息，產(chǎn)生

160bit的消息摘要，SHA1的摘要長于MD5，因而更安全的；

默認值為“MD5”。

IKE SA生存周期

在設(shè)置的IKE SA生存周期超時前，會提前協(xié)商一個SA來替換

舊的SA，在新的SA還沒有協(xié)商完之前，依然使用舊的SA，在

新的SA建立后，將立即使用新的SA，而舊的SA在生存周期超

時后，被自動刪除；

默認值“3600秒”，取值范圍: 1200～86400秒。

第二階段

配置第二階段，用第一階段建立的SA為IPsec協(xié)商安全服務，

即為IPsec協(xié)商具體的SA，建立用于最終的IP數(shù)據(jù)報文安全傳

輸?shù)腎Psec SA。

封裝模式

Tunnel： 在隧道模式下，AH或ESP插在原始IP報文頭之前，

 另外生成一個新的報文頭放到AH或ESP之前；

Transport：在傳輸模式下，AH或ESP被插入到IP報文頭之

后，但在所有傳輸層協(xié)議之前，或所有其他IPsec協(xié)議之前；

默認值為“Tunnel模式”。

協(xié)議類型

AH：AH是認證頭協(xié)議，協(xié)議號為51。主要提供的功能有數(shù)據(jù)

源認證﹑數(shù)據(jù)完整性校驗和防報文重發(fā)功能；

ESP：ESP是報文安全封裝協(xié)議，協(xié)議號為50。與AH協(xié)議不

同的是，ESP將需要保護的數(shù)據(jù)報文進行加密后再封裝到IP包

中，以保證數(shù)據(jù)的機密性；

默認值為“ESP”。

加密算法

可選DES﹑3DES﹑AES128﹑AES192﹑AES256，默認值為“ DES”。

驗證算法

可選MD5或SHA1，默認值為“MD5”。

IPsec SA生存周期

設(shè)置IPsec SA的生存周期，超過設(shè)置時間，需要重新協(xié)商IPsec SA；

默認值“28800秒”，取值范圍: 1200～86400秒。

完美前向保密

選中單選框，啟用完美前向保密；

啟用該功能后連接的時間會加長但保密性更好。

啟用壓縮

需要壓縮IPsec的報頭則選擇此項。

保存

單擊<保存>按鈕新增Ipsec策略，顯示于Ipsec應用頁面。