Internet-Protocol-Security-(IPsec)-Richtlinien legen eine Reihe von Verschlüsselungs- und Authentifizierungseinstellungen für einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch) fest.
Sie können Richtlinien verwenden, wenn Sie IPsec- oder L2TP-Verbindungen einrichten. Die Standardauswahl an Richtlinien unterstützt einige üblicherweise verwendete VPN-Einsatzszenarien.
- Um einer Richtlinie zu duplizieren, klicken Sie auf Duplizieren .
Tipp Hardwarebeschleunigung ist für IPsec-VPN-Verbindungen bei den Gerätemodellen XG 125 Rev. 3, XG 135 Rev. 3 und XG 750 verfügbar. Sie standardmäßig aktiviert. Um sie auszuschalten, gehen Sie zur Kommandozeilenkonsole.
Allgemeine Einstellungen
- Schlüsselaustausch
- Internet Key Exchange (IKE) Version, die verwendet soll. IKEv2 erfordert weniger Bandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, neben weiteren Verbesserungen.
- Authentifizierungsmethode
- Modus, der für den Austausch von Authentifizierungsinformationen (Phase 1) verwendet wird.
- Schlüsselaushandlungsversuche
- Maximale Anzahl an Schlüsselaushandlungsversuchen.
- Schlüsselerneuerung zulassen
- Lassen Sie zu, dass die Aushandlung automatisch von jeder Gegenstelle eingeleitet werden kann, bevor der aktuelle Schlüssel verfällt.
- Daten in komprimierten Format übergeben
- Daten in komprimiertem Format übergeben, um dadurch den Durchsatz zu erhöhen.
- SHA-2 mit 96-Bit-Verkürzung
- Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.
Phase 1
- Schlüssel-Lebensdauer
- Lebensdauer des Schlüssels in Sekunden.
- Zeit bis zur Schlüsselerneuerung
- Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerung erneut durchgeführt werden sollte.
- Zeit zufällig variieren um
- Faktor, um den die Schlüsselerneuerungszeit in zufälliger Weise variiert.
- DH-Gruppe
- Diffie–Hellman -Gruppe, die für die Verschlüsselung verwendet werden soll.
- Algorithmus-Kombinationen
- Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen.
Phase 2
- PFS-Gruppe
- Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll, um einen neuen Schlüsselaustausch für jeden Phase-2-Tunnel zu erzwingen.
- Schlüssel-Lebensdauer
- Lebensdauer des Schlüssels in Sekunden.
- Algorithmus-Kombinationen
- Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen.
Dead Peer Detection
- Dead Peer Detection
- Im festgelegten Intervall überprüfen, ob die Gegenstelle aktiv ist.
- Gegenstelle überprüfen alle
- Intervall in Sekunden zu dem der Peer geprüft wird.
- Auf Antwort warten bis zu
- Zeit in Sekunden, die auf die Rückmeldung des Peers gewartet wird.
- Wenn Peer unerreichbar
- Maßnahme, die durchgeführt werden soll, wenn festgestellt wird, dass die Gegenstelle inaktiv ist.