加密密钥自动交换设置(默认设置)
配置 > 安全 > IPsec >加密密钥自动交换设置(默认设置)
使用此页配置自动交换IPsec加密密钥的设置。默认设置是与未在[设置1到4]上指定的点进行通信的IPsec设置。
注意
- 以下管理员可以更改此页上的设置:
- 网络管理员
地址类型
选择用于IPsec通信的地址类型。选择[无效]可禁用此页上的所有其它设置。
安全等级
选择下列IPsec通信安全等级之一。通过选择所需的安全等级,您便可一次指定一组值。选择一个安全等级时,其对应的值会显示在[安全详细资料]区域中。仅[PSK字符串]需要手动配置。如果您希望手动更改[安全详细资料]下的设置,则选择[安全等级]列表中的[用户设置]。
仅验证
此安全等级验证目的地点,并防止未应用数据包加密的数据包被篡改。
验证和低等级的加密
此安全等级验证目的地点,并加密数据包,以保护它们不受篡改。此等级对密码破解的抵御能力要比[验证和高等级的加密]稍微差一些。
验证和高等级的加密
此安全等级验证目的地点,并加密数据包,以保护它们不受篡改。此安全等级对密码破解的抵御能力要比[验证和低等级的加密]高。但是,因为在加密/解密中涉及到复杂的计算,所以处理速度会大幅降低。
用户设置
如果您选择[用户设置],则可手动更改[安全详细资料]区域中的设置。
安全详细资料
安全策略
选择一个选项来指定如何管理IPsec。
封装模式
选择下列封装模式之一:
传输
此模式保护IP数据包的有效负载。选择此模式在IPsec主机之间进行通信。
通道
此模式保护全部IP数据包。选择此模式在安全网关(如VPN设备)之间进行通信。
注意
- 如果选择[传输],则[通道端点]选项不可用。
通道地址类型
选择您需要的通道地址类型。
通道端点
如果您将[封装模式]选择为[通道],则还必须指定IPsec覆盖(即通道端点的开始和结束位置)。
注意
- 您必须指定与指定的地址类型一致的IP地址。
- 输入本地地址作为通道端点的开始位置。
- 如果使用IPv6地址,则无法指定链路本地地址或站点本地地址。
Ipsec需求等级
指定当机器的IPsec设置与目的地点的设置不相符时,机器所作的反应。选择下列响应之一:
在可能的情况下使用
如果IPsec设置与点不一致,则会以明文执行通信;而所有其它情况下,通信则受IPsec保护。
必需
如果IPsec设置与点不一致,则会禁用通信;而所有其它情况下,通信则受IPsec保护。
验证方式
选择验证目的地点的方式。如果您选择[PSK],则必须为[PSK字符串]输入文本字符串。
PSK字符串
显示PSK(预共享密钥)的当前状态。如果显示信息“未设置”,则单击[更改],然后输入PSK字符串。
关于[PSK字符串]页的详细信息阶段1
散列算法
选择阶段1的散列算法类型。
加密算法许可
选择阶段1的加密算法类型。
Diffie-Hellman组
选择阶段1的Diffie-Hellman组类型。
有效期
指定阶段1的通信信道持续有效的时间。您可以输入300到172800(秒)之间的值。
阶段2
安全协议
选择阶段2的安全协议。如果选择[AH],则[加密算法许可]选项不可用。
验证算法
选择阶段2的验证算法类型。
加密算法许可
选择阶段2的加密算法类型。可以选择一个或多个类型。
PFS
选择为阶段2启用还是禁用PFS组。如果您要启用它,则选择组类型。
有效期
指定阶段2的通信信道持续有效的时间。您可以输入300到172800(秒)之间的值。
按钮
[确定]
单击此按钮可将设置发送到机器。若要应用设置,请单击[IPsec]页上的[确定]。
[取消]
单击此项取消设置。