加密密钥自动交换设置（设置1到4）

使用此页配置自动交换IPsec加密密钥的设置。设置1到4是与特定点进行通信的IPsec设置。

地址类型

选择用于IPsec通信的地址类型。选择无效可禁用此页上的所有其他设置。

本地地址

指定机器的地址。以“基本地址/掩码长度”的格式输入地址，或从下拉列表中选择一个地址。
若要指定范围，请单击选项按钮，输入基本地址，然后输入掩码长度。掩码长度的范围，对于IPv4必须为0到32，对于IPv6必须为0到128，如下表所示：

IPv4

IP地址	掩码	地址范围
192.168.1.1	32	仅192.168.1.1
192.168.5.0	24	192.168.5.0到192.168.5.255
0.0.0.0	0	所有IPv4地址

IPv6

IP地址	掩码	地址范围
2001:1000:0:1234::1	128	仅2001:1000:0:1234::1
2001:1000:0:1234::	80	2001:1000:0:1234::到2001:1000:0:1234:ffff:ffff:ffff:ffff
::	0	所有IPv6地址

远程地址

指定目的地点的地址。以“基本地址/掩码长度”的格式输入地址。
若要指定地址范围，请按照本地地址的说明执行。

安全等级

选择下列IPsec通信安全等级之一。通过选择所需的安全等级，您便可一次指定一组值。选择一个安全等级时，其对应的值会显示在安全详细资料区域中。仅PSK字符串需要手动配置。如果希望手动更改安全详细资料下的设置，则选择安全等级列表中的用户设置。

仅验证

此安全等级验证目的地点，并防止未应用数据包加密的数据包被篡改。

验证和低等级的加密

此安全等级验证目的地点，并加密数据包，以保护它们不受篡改。此等级对密码破解的抵御能力要比验证和高等级的加密稍微差一些。

验证和高等级的加密

此安全等级验证目的地点，并加密数据包，以保护它们不受篡改。此安全等级对密码破解的抵御能力要比验证和低等级的加密高。但是，因为在加密/解密中涉及到复杂的计算，所以处理速度会大幅降低。

用户设置

如果选择用户设置，则可手动更改安全详细资料区域中的设置。

安全详细资料

安全策略

选择一个选项来指定如何管理IPsec。

封装模式

选择下列封装模式之一：

传输

此模式保护IP数据包的有效负载。选择此模式在IPsec主机之间进行通信。

通道

此模式保护全部IP数据包。选择此模式在安全网关（如VPN设备）之间进行通信。

注意

如果选择传输，则通道端点选项不可用。

通道端点

如果将封装模式选择为通道，则还必须指定IPsec覆盖（即通道端点的开始和结束位置）。

注意

您必须指定与指定的地址类型一致的IP地址。
输入本地地址作为通道端点的开始位置。
如果使用IPv6地址，则无法指定链路本地地址或站点本地地址。

Ipsec需求等级

指定当机器的IPsec设置与目的地点的设置不相符时，机器所作的反应。选择下列选项之一：

在可能的情况下使用

如果此机器的IPsec设置与点的不相符，则会以明文交换通信；而所有其它情况下，通信则受IPsec保护。

必需

如果此机器的IPsec设置与点的不相符，则会禁用通信；而所有其它情况下，通信则受IPsec保护。

验证方式

选择验证目的地点的方式。如果选择PSK，则为PSK字符串输入字符串。

PSK字符串

显示PSK（预共享密钥）的当前状态。如果显示信息没有设置，则单击更改，然后输入PSK字符串。

关于PSK字符串页的详细信息

阶段1

散列算法

选择阶段1的散列算法类型。

加密算法

选择阶段1的加密算法类型。

Diffie-Hellman组

选择阶段1的Diffie-Hellman组类型。

有效期

指定阶段1的通信信道持续有效的时间。您可以输入300到172800（秒）之间的值。

阶段2

安全协议

选择用于阶段2的安全协议。如果选择AH，则加密算法许可选项不可用。

验证算法

选择阶段2的验证算法类型。

加密算法许可

选择阶段2的加密算法类型。可以选择一个或多个类型。

PFS

选择为阶段2启用还是禁用PFS组。若要启用，请选择组类型。

有效期

指定阶段2的通信信道持续有效的时间。您可以输入300到172800（秒）之间的值。

按钮

确定

单击此按钮可将设置发送到机器。若要应用设置，请单击IPsec页上的确定。

取消

单击此项取消设置。

加密密钥自动交换设置（设置1到4） 设备管理 >配置 > 安全 > IPsec > 加密密钥自动交换设置（设置1到4）