首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台产品安全中心订单验收材料下载

安智路由器SDW-R

.
SDW-R4.0.80
安智路由器SDW-R 文档 用户手册 VPN VPN配置向导 标准IPSec VPN协议
{{sendMatomoQuery("安智路由器SDW-R","标准IPSec VPN协议")}}

标准IPSec VPN协议

更新时间:2023-05-05

  1. 点击[标准IPSec VPN协议],自动跳转下一页面,如下图所示。

  • [配置检测结果]:检测当前设备部署模式、可用外网口、可用内网口、VPN服务端口、授权数以及设备联网状态。如果状态发生改变,可点击右侧[重新检测]刷新检测结果。

  • [配置信息收集]:显示当前设备配置VPN需要的信息,如:对端设备地址和类型、认证方式、需要加密的数据流内网网段等。

  • [下载配置信息收集文件]:支持下载配置信息搜集文件模板,点击<下载配置信息收集文件>,下载后的文件格式如下:

确认无误后,点击<下一步>。

  1. 第三方对接

  • [设备名称]:配置本端IPSec设备名称,IPSec协商不校验此参数,只具有本地意义,自行设置即可。

  • [描述]:配置设备的描述信息,可选配置。

  • [启用状态]:对当前设备VPN启用或者禁用。

[基本配置]各配置项说明:

  • [对端设备地址类型]:包括固定IP、动态IP、动态域名三种,请根据实际情况选择:选择固定IP,需要填写上对端的IP地址;选择动态域名,就填写上对端外网绑定的域名。

  • [认证方式]:包括预共享密钥、RSA签名证书、商密证书三种,按需选择。

  • [共享密钥与确认密钥]:填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享密钥。

  • [本端出口线路]:根据实际线路情况选择对应的出口线路。

  1. IPSec配置加密数据流

    点击<新增>加密数据流,各配置项说明:

  • [本端地址]:设置标准IPSec VPN感兴趣流的源IP匹配规则,可填写单个IP或者IP网段。

  • [本端内网服务]:设置标准IPSec VPN感兴趣流的源内网服务匹配规则,可选择ALL Services、ALL TCP Services、ALL UDP Services、ALL ICMP Services这四种服务类型的某一种,请按需选择。

  • [对端地址]:设置标准IPSec VPN感兴趣流的目的IP匹配规则,可填写单个IP或者IP网段。

  • [对端内网服务]:设置标准IPSec VPN感兴趣流的目的内网服务匹配规则,可选择ALL Services、ALL TCP Services、ALL UDP Services、ALL ICMP Services这四种服务类型的某一种,请按需选择。

  • [阶段二安全提议]:选择阶段二协商时所使用的参数,包括所使用的协议、加密算法、认证算法、是否启用密钥完美向前保密(PFS);其中数据包封装所使用的协议包括AH、ESP协议;数据加密所使用的加密算法包括DES、3DES、AES、AES192、AES256、SANGFOR_DES、SM1、SM4;选择数据认证的认证算法包含MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3;PFS所使用的DH组算法。

  • [优先级]:设置本端地址和对端地址优先级用于标识路由优先级。

    配置完成,点击<确定>即可。

  1. 点击[高级配置],进入IKE和IPSec配置界面。

    [IKE配置]界面各配置项说明:

  • [IKE版本]:选择IKEv1或者IKEv2版本,需要和对端保持一致。

  • [连接模式]:包括主模式和野蛮模式两种类型。主模式适用于双方均为固定IP或者一方固定IP一方动态域名方式,并且不支持NAT穿透;野蛮模式适用于其中一方为拨号的情况,并且支持NAT穿透;根据客户实际需求场景选择主模式或者野蛮模式。

  • [主动连接]:用于控制设备是否主动发起建立VPN的连接。

  • [本端身份类型]:设置本端身份类型,保证对端可以识别到本端设备。该类型包括:IP地址(IPV4_ADDR)、域名字符串(FQDN)、用户字符串(USER_FQDN)三种类型。

  • [本端身份ID]:按照本端身份类型所选择的类型进行配置。

  • [对端身份类型]:设置对端身份类型,保证本端可以识别到对端设备。该类型包括:IP地址(IPV4_ADDR)、域名字符串(FQDN)、用户字符串(USER_FQDN)三种类型。

  • [对端身份ID]:按照本端身份类型所选择的类型进行配置。

  • [IKE SA超时时间]:标准IPSEC协商的第一阶段存活时间,只支持按秒计时方式。

  • [D-H群]:设置Diffie-Hellman密钥交换的群类型,包括1、2、5、14、15、16、17、18八种,请与对端设备配置保持一致。

  • [DPD]:IPSEC使用DPD(Dead Peer Detection)功能来检测对端Peer是否存活。

  • [NAT-T]:NAT-T在野蛮模式下才会有,主要作用是避免有一方设备处于NAT之后导致标准IPSEC协商失败。NAT穿透启用后会增加UDP头封装ESP报文,当ESP报文穿越NAT设备时,NAT设备对该报文的外层IP头和增加的UDP报头进行地址和端口号转换,转换后的报文到达IPSec隧道对端时,与普通IPSec处理方式相同。

  • [检测间隔]:设置DPD、NAT-T的检测间隔。

  • [超时次数]:设置DPD、NAT-T的检测超时次数,多次检测超时后,设备会认为对端失效而断开连接。

  • [阶段一安全提议]:选择阶段一协商时所使用的参数,包括加密算法、认证算法;其中数据加密所使用的加密算法包括DES、3DES、AES、AES192、AES256、SANGFOR_DES、SM1、SM4;选择数据认证的认证算法包含MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3。

  1. 配置完<IKE配置>之后,点击<IPSec配置>进入IPSec配置界面。

    IPSec配置各项说明如下:

  • [重试次数]:设置标准IPSec VPN的重试连接次数。

  • [IPSec SA超时时间]:设置IPSec SA对应的超时时间。

  • [过期时间]:勾选启用或者禁用,来选择标准IPSec VPN隧道是否有过期时间。

    完成IKE和IPSec配置后,点击<确定>,返回主界面。

  1. 主界面配置确认无误后,最后点击<提交>。