添加 第 2 阶段方案
您可以定义一个隧道,使其为对等方提供多个 用于 IKE 第 2 阶段的方案。 例如,可以在一个方案中指定 ESP-3DES-SHA1,在另一个方案中指定 ESP-DES-MD5。 流量通过隧道时,安全关联可使用 ESP-3DES-SHA1 或 ESP-DES-MD5 来匹配对等方的转换设置。
您可以包含最多八种方案。
添加现有方案
有六个预配置的方案。 其命名格式是 <Type>-<Authentication>-<Encryption>。 对于这六个方案,强制密钥过期配置为 8 小时或 128000 千字节。
要使用这六个预配置的方案之一或以前创建的其他方案:
- 选择 VPN > Branch Office VPN。
- 在隧道部分中,单击添加,或双击现有隧道以进行编辑。
- 选择第 2 阶段设置选项卡。
- 从 IPSec 方案部分的隧道页面,选择要添加到此隧道的方案。
- 单击添加。
创建新方案
- 选择 VPN > Branch Office VPN。
- 在第 2 阶段方案部分中,单击添加。
此时将显示第 2 阶段方案页面。
- 在名称文本框中输入新方案的名称。
- (可选)在说明文本框中,输入说明以识别此方案。
- 从类型下拉列表选择 ESP 或 AH 作为方案方法。
建议您使用 ESP(封装安全负载)。 ESP 和 AH(认证头)的区别在于:- ESP 是使用加密的认证。
- AH 仅为认证。 ESP 认证不保护 IP 头,而 AH 会保护 IP 头。
- IPSec 传递支持 ESP,但不支持 AH。 如果计划使用 IPSec 传递功能,则必须指定 ESP 为方案方法。
有关 IPSec 传递的详细信息,请参阅关于 全局 VPN 设置。
- 从身份验证下拉列表选择 SHA1、MD5 或无作为认证方法。
- 如果从加密下拉列表的类型下拉列表中选择 ESP,请选择加密方法。
该列表中的选项有 DES、3DES 和 AES 128、192 或 256 位,按照复杂程度和安全性均依次递增的顺序排列。
- 要使网关端点在经过一段时间或传送一些流量后强制生成并交换新密钥,可配置强制密钥过期部分中的设置。
- 选中时间复选框使密钥在经过一段时间后过期。 键入或选择一段时间,必须在经过这段时间之后才会强制密钥过期。
- 选中流量复选框使密钥在传送一些流量后过期。 键入或选择一个流量(以 KB 为单位),必须在传送此流量之后才会强制密钥过期。 该值不能小于 24576 KB。 如果将其设为更低的数字,那么在您保存方案时,它会自动设为 24576。
- 如果两个强制密钥过期选项均被禁用,则密钥过期间隔会设置为 8 小时。
- 单击保存。
编辑方案
您只能编辑用户定义的方案。
- 选择 VPN > BOVPN。
- 在第 2 阶段方案部分中,选择一个方案,然后单击编辑。
- 按照本部分的说明更新设置,添加 第 2 阶段方案。
请参阅
配置 第 2 阶段设置