Inställningar för automatiskt byte av krypteringsnycklar
För konfigurering av kod stöder den här maskinen automatiskt kodutbyte för att ange överenskommelser såsom IPsec-algoritmen och kod för både avsändare och mottagare. Sådana överensstämmelser utgör det som är känt som SA (säkerhetsassociation). IPsec-kommunikation är möjlig endast om mottagarens och avsändarens SA-inställningar är identiska.
Om du använder metoden automatiskt byte för att ange krypteringsnyckeln, konfigureras SA-inställningarna automatiskt på båda parters maskiner. Innan du ställer in IPsec SA autokonfigureras även inställningarna för ISAKMP SA (Fas 1). Efter detta autokonfigureras inställningarna för IPsec SA (fas 2), som gör faktisk IPsec-överföring möjlig.
För ytterligare säkerhet kan SA periodvis uppdateras automatiskt genom att man tillämpar en giltighetsperiod (tidsbegränsning) för dess inställningar. Den här maskinen stöder endast IKEv1 för automatiskt byte av krypteringsnycklar.
Observera att det är möjligt att konfigurera flera SA:s.
Inställningar 1-4 och standardinställning
Med hjälp av metoden automatiskt utbyte, kan du konfigurera fyra separata uppsättningar SA-detaljer (så som olika delade koder och IPsec-algoritmer. I standardinställningarna för dessa uppsättningar kan du ta med inställningar som fälten för uppsättning 1 till 4 inte kan innehålla.
När IPsec är aktiverat har uppsättning 1 högsta prioritet och uppsättning 4 har den lägsta. Du kan använda detta prioriteringssystem för att rikta in IP-adresser på ett mer säkert sätt. Ställ till exempel in den bredaste IP-intervallen på lägsta prioritet (4) och ställ sedan in särskilda IP-adresser på en högre prioritetsnivå (3 eller högre). På det sättet kommer de högre inställningarna att tillämpas när IPsec-överföringen aktiveras för en särskild IP-adress.