![background image](/i/zyxel/141507/zyxel-p-2602hw-ee-revd/h/zyxel-p-2602hw-ee-revd-261.png)
Руководство
пользователя
c
ерии
P-2602H/HW EE
Глава
17
Экраны
VPN
261
Key Group
Для
фазы
настройки
1 IKE
необходимо
выбрать
группу
ключей
.
DH1
(
значение
по
умолчанию
)
соответствует
1-
й
группе
ключей
Диффи
-
Хелмана
,
768-
битному
случайному
числу
.
DH2
соответствует
2-
й
группе
ключей
Диффи
-
Хелмана
2, 1024-
битному
(1K
бит
)
случайному
числу
.
Phase 2
Active Protocol
В
раскрывающемся
списке
выберите
ESP
или
AH
.
Encryption
Algorithm
Это
поле
доступно
в
том
случае
,
если
в
поле
Active Protocol
выбран
протокол
ESP
.
В
раскрывающемся
списке
выберите
алгоритм
шифрования
:
DES
,
3DES
,
AES
или
NULL
.
При
использовании
любого
из
этих
алгоритмов
шифрования
отправитель
и
получатель
должны
использовать
один
и
тот
же
секретный
ключ
,
который
может
применяться
для
шифрования
и
расшифровки
сообщений
или
для
создания
и
проверки
кода
аутентификации
сообщений
.
В
алгоритме
шифрования
DES
используется
56-
битный
ключ
.
Тройной
DES (
3DES
) –
разновидность
DES,
использующая
168-
битный
ключ
.
Поэтому
3DES
более
защищен
по
сравнению
с
DES
.
Для
него
также
требуется
больше
вычислительных
мощностей
,
что
увеличивает
задержки
и
снижает
производительность
.
В
данной
реализации
AES
используется
128-
битный
ключ
.
AES
обладает
большим
быстродействием
,
чем
3DES
.
Чтобы
настроить
туннель
без
шифрования
,
выберите
значение
NULL
.
Если
выбран
режим
NULL
,
ключ
шифрования
вводить
не
требуется
.
Authentication
Algorithm
В
раскрывающемся
списке
выберите
SHA1
или
MD5
. MD5 (
свертка
сообщения
,
реализация
5)
и
SHA1 (
защищенный
алгоритм
хеширования
) –
это
алгоритмы
хеширования
,
используемые
для
аутентификации
данных
в
пакете
.
Алгоритм
SHA1
обычно
считается
более
надёжным
,
чем
MD5,
но
он
несколько
медленнее
.
Для
минимальной
защиты
можно
применять
метод
MD5
,
а
для
наибольшей
безопасности
следует
использовать
SHA1
.
SA Life Time
(Seconds)
Укажите
в
этом
поле
период
времени
,
по
истечении
которого
будет
автоматически
производиться
повторное
согласование
IKE SA.
Допустимый
диапазон
–
от
60
до
3 000 000
секунд
(
почти
35
дней
).
Короткий
период
действия
SA
позволяет
усилить
безопасность
,
давая
команду
двум
межсетевым
шлюзам
VPN
обновлять
ключи
шифрования
и
аутентификации
.
Однако
каждый
раз
при
повторном
согласовании
туннеля
VPN
все
пользователи
,
получающие
доступ
к
удалённым
ресурсам
,
временно
отключаются
.
Encapsulation
Выберите
режим
в
раскрывающемся
списке
:
Tunnel
(
туннельный
)
или
Transport
(
транспортный
).
Perfect Forward
Secrecy (PFS)
По
умолчанию
режим
PFS (
защита
от
разглашения
использованных
ключей
)
для
2-
й
фазы
согласования
SA
отключен
(
NONE
).
Это
обеспечивает
ускорение
настройки
IPSec,
но
снижает
уровень
безопасности
.
Чтобы
включить
PFS,
в
раскрывающемся
списке
выберите
DH1
или
DH2
.
DH1
–
группа
Диффи
-
Хелмана
1,
случайное
число
768
бит
.
DH2
–
группа
Диффи
-
Хелмана
2,
случайное
число
1024
бит
(1
Кбит
) (
безопасность
повышается
,
производительность
снижается
).
Back
Для
возврата
к
предыдущему
экрану
нажмите
кнопку
Back
.
Apply
Выберите
Apply
,
чтобы
сохранить
изменения
в
P-2602
и
возвратиться
на
экран
VPN-IKE
.
Cancel
Нажмите
кнопку
Cancel
,
чтобы
возвратиться
на
экран
VPN-IKE
без
сохранения
изменений
.
Таб
. 88
Расширенная
настройка
политик
VPN
ПОЛЕ
ОПИСАНИЕ