Einstellungen für autom. Austausch des Verschlüsselungscodes (Einstellungen 1 bis 4)
Konfiguration > Sicherheit > IPsec > Einstellungen für autom. Austausch des Verschlüsselungscodes (Einstellungen 1 bis 4)
Verwenden Sie diese Seite, um die Einstellungen für den automatischen Austausch des IPsec-Verschlüsselungscodes zu konfigurieren. Die Einstellungen 1 bis 4 sind die IPsec-Einstellungen für die Kommunikation mit festgelegten Peers.
Hinweis
- Die Einstellungen auf dieser Seite können von dem folgenden Administrator geändert werden:
- Netzwerk-Administrator
Adresstyp
Wählen Sie den für IPsec-Kommunikation verwendeten Adresstyp aus. Wenn Sie [Nicht aktiv] auswählen, werden alle anderen Einstellungen auf dieser Seite deaktiviert.
Lokale Adresse
Legen Sie die Adresse des Geräts fest. Sie können die Adresse im Format "Basisadresse/Maskenlänge" eingeben oder eine aus der Dropdown-Liste auswählen.
Um einen Bereich festzulegen, klicken Sie auf die Optionsschaltfläche, geben eine Basisadresse und die Maskenlänge ein. Wie in den folgenden Tabellen dargestellt, muss die Maskenlänge für IPv4 im Bereich von 0 bis 32 bzw. für IPv6 im Bereich von 0 bis 128 liegen:
IPv4
| IP-Adresse | Maske | Adressbereich |
|---|---|---|
| 192.168.1.1 | 32 | nur 192.168.1.1 |
| 192.168.5.0 | 24 | 192.168.5.0 bis 192.168.5.255 |
| 0.0.0.0 | 0 | Alle IPv4-Adressen |
IPv6
| IP-Adresse | Maske | Adressbereich |
|---|---|---|
| 2001:1000:0:1234::1 | 128 | nur 2001:1000:0:1234::1 |
| 2001:1000:0:1234:: | 80 | 2001:1000:0:1234:: bis 2001:1000:0:1234:ffff:ffff:ffff:ffff |
| :: | 0 | Alle IPv6-Adressen |
Remote-Adresse
Legen Sie die Adresse des Ziel-Peers fest. Geben Sie die Adresse im Format "Basisadresse/Maskenlänge" ein.
Folgen Sie den Anweisungen für die "Lokale Adresse", um einen Adressbereich festzulegen.
Sicherheitslevel
Wählen Sie einen der folgenden Sicherheitslevel für IPsec-Kommunikation aus. Sie können ein Set von Werten auf einmal festlegen, indem Sie einfach das erforderliche Sicherheitslevel auswählen. Wenn Sie einen Sicherheitslevel auswählen, werden die zugehörigen Werte im Bereich [Sicherheitsdetails] angezeigt. Nur [PSK Text] erfordert eine manuelle Konfiguration. Wenn Sie die Einstellungen unter [Sicherheitsdetails] manuell ändern möchten, wählen Sie in der Liste [Sicherheitslevel] [Anwendereinstellungen] aus.
Nur Authentifizierung
Dieser Level authentifiziert den Ziel-Peer und verhindert Paketsabotage ohne Paketverschlüsselung anzuwenden.
Authentifizierung und niedrige Verschlüsselung
Dieser Level authentifiziert den Ziel-Peer und verschlüsselt Pakete, um sie vor Sabotage zu schützen. Dieser Level ist etwas anfälliger für Verschlüsselungsanalysen als [Authentifizierung und hohe Verschlüsselung].
Authentifizierung und hohe Verschlüsselung
Dieser Level authentifiziert den Ziel-Peer und verschlüsselt Pakete, um sie vor Sabotage zu schützen. Dieser Level ist resistenter gegen Verschlüsselungsanalysen als [Authentifizierung und niedrige Verschlüsselung]. Jedoch wird dabei die Verarbeitungsgeschwindigkeit deutlich verringert, da in der Ver- und Entschlüsselung komplexe Kalkulationen involviert sind.
Anwendereinstellungen
Wenn Sie [Anwendereinstellungen] auswählen, können Sie die Einstellungen im Bereich [Sicherheitsdetails] manuell ändern.
Sicherheitsdetails
Sicherheitsvereinbarung
Wählen Sie eine Option aus, um festzulegen, wie IPsec verwaltet werden soll.
Verkapselungsmodus
Wählen Sie einen der folgenden Verkapselungsmodi:
Transport
Dieser Modus schützt die Ladung der IP-Pakete. Wählen Sie diesen Modus für die Kommunikation zwischen IPsec-Hosts aus.
Tunnel
Dieser Modus schützt die gesamten IP-Pakete. Wählen Sie diesen Modus für die Kommunikation zwischen Sicherheits-Gateways (z. B. VPN-Geräte) aus.
Hinweis
- Wenn Sie [Transport] auswählen, ist die Option [Tunnel-Endpunkt] nicht verfügbar.
Tunnel-Endpunkt
Wenn Sie [Tunnel] als [Verkapselungsmodus] auswählen, müssen Sie auch die IPsec-Abdeckung festlegen (d.h. Beginn und Ende des Tunnel-Endpunkts).
Hinweis
- Sie müssen eine IP-Adresse festlegen, die mit dem festgelegten Adresstyp übereinstimmt.
- Geben Sie für den Beginn des Tunnelendpunkts die lokale Adresse ein.
- Wenn Sie IPv6-Adressen verwenden, können Sie keine Link-lokalen oder Site-lokalen Adressen festlegen.
IPsec-Anforderungslevel
Legen Sie fest, wie das Gerät reagiert, wenn seine IPsec-Einstellungen nicht mit denen des Ziel-Peers übereinstimmen. Wählen Sie eine der folgenden Optionen:
Verwenden, wenn möglich
Wenn die IPsec-Einstellungen auf diesem Gerät und dem Peer nicht übereinstimmen, wird in Klartext kommuniziert. In jedem anderen Fall wird die Kommunikation durch IPsec geschützt.
Immer anfordern
Wenn die IPsec-Einstellungen auf diesem Gerät und dem Peer nicht übereinstimmen, wird die Kommunikation deaktiviert. In jedem anderen Fall wird die Kommunikation durch IPsec geschützt.
Authentifizierungsverfahren
Wählen Sie ein Verfahren zur Authentifizierung des Ziel-Peers aus. Wenn Sie [PSK] auswählen, geben Sie einen Text für [PSK Text] ein.
PSK Text
Der aktuelle Status von PSK (Pre-Shared Key) wird angezeigt. Wenn die Nachricht "Nicht eingerichtet" angezeigt wird, klicken sie auf [Ändern] und geben Sie dann den PSK Text ein.
Nähere Einzelheiten zur Seite [PSK Text]Phase 1
Hash-Algorithmus
Wählen Sie den Hash-Algorithmustyp für Phase 1 aus.
Verschlüsselungsalgorithmus
Wählen Sie den Verschlüsselungsalgorithmustyp für Phase 1 aus.
Diffie-Hellman Group
Wählen Sie den Diffie-Hellman Group-Typ für Phase 1 aus.
Gültigkeitszeitraum
Legen Sie fest, wie lange der Kommunikationskanal für Phase 1 gültig bleibt. Sie können einen Wert zwischen 300 und 172.800 (Sekunden) eingeben.
Phase 2
Sicherheitsprotokoll
Wählen Sie das für Phase 2 verwendete Sicherheitsprotokoll aus. Wenn Sie [AH] auswählen, ist die Option [Zulassungen des Verschlüsselungsalgorithmus] nicht verfügbar.
Authentifizierungsalgorithmus
Wählen Sie den Authentifizierungsalgorithmustyp für Phase 2 aus.
Zulassungen des Verschlüsselungsalgorithmus
Wählen Sie den Verschlüsselungsalgorithmustyp für Phase 2 aus. Sie können einen oder mehrere Typen auswählen.
PFS
Wählen Sie aus, ob die PFS-Gruppe für Phase 2 aktiviert oder deaktiviert werden soll. Um sie zu aktivieren, wählen Sie einen Gruppentyp aus.
Gültigkeitszeitraum
Legen Sie fest, wie lange der Kommunikationskanal für Phase 2 gültig bleibt. Sie können einen Wert zwischen 300 und 172.800 (Sekunden) eingeben.
Schaltflächen
[OK]
Klicken Sie hier, um die Einstellungen zum Gerät zu senden. Um die Einstellungen zu übernehmen, klicken Sie auf der Seite [IPsec] auf [OK].
[Abbrechen]
Klicken Sie auf diese Schaltfläche, um die Einstellungen zu verwerfen.