1 режим согласования – Инструкция по эксплуатации Zyxel P-2602H
Страница 257
Руководство пользователя cерии P-2602H/HW EE
Глава 17 Экраны VPN
257
• Задать период действия IKE SA (SA Life Time). Это поле позволяет определить
срок действия IKE SA, по истечении которого IKE SA прекращает действовать.
Если истечение IKE SA наступит после того, как будет установлена IPSec SA, то
IPSec SA не будет признана истекшей.
Для фазы 2 необходимо:
• Выбрать протокол (ESP или AH) для обмена ключами IKE.
• Выбрать алгоритм шифрования.
• Выбрать алгоритм аутентификации
• Указать, требуется ли использовать механизм PFS (Perfect Forward Secrecy – защита
от разглашения использованных ключей), реализуемый с помощью
криптографического алгоритма Диффи-Хелмана с открытым ключом – см.
. Чтобы отключить PFS, выберите None (это значение выбрано по
умолчанию).
• Выбрать режим: Tunnel (туннельный) или Transport (транспортный).
• Задать период действия IPSec SA (SA Life Time). Это поле позволяет определить
срок действия IKE SA, по истечении которого P-2602 автоматически согласует
новую IPSec SA, если в соединении имеется трафик. P-2602 будет автоматически
согласовывать новую IPSec SA и в том случае, если трафик отсутствует, но на
обоих IPSec-маршрутизаторах включена функция поддержания активности. При
истечении срока действия IPSec SA маршрутизатор IPSec должен будет повторно
согласовать SA перед очередной пересылкой трафика.
17.12.1 Режим согласования
Режим согласования (Negotiation Mode), выбранный для 1-й фазы, определяет способ
формирования ассоциации безопасности (SA) для каждого соединения посредством
согласований IKE.
• В основном режиме (Main Mode ) обеспечивается наибольший уровень
безопасности при согласовании аутентификации между сторонами соединения
(фаза 1). В нем используются 6 сообщений и 3 двухсторонних цикла передачи:
согласование SA, обмен ключами Диффи-Хелмана и обмен случайными числами
(“nonce”). Этот режим обеспечивает защиту идентификационных данных
(параметры, позволяющие вас идентифицировать, во время согласования не
раскрываются).
• Агрессивный режим (Aggressive Mode) обладает большим быстродействием по
сравнению с основным режимом (Main Mode) за счет исключения некоторых
этапов согласования идентификации (на фазе 1). Его недостаток состоит в том, что
ускоренная процедура ограничивает эффективность согласования и не
обеспечивает защиту идентификационных данных. Он полезен в условиях
удаленного доступа, где адрес инициатора неизвестен отвечающей стороне, и обе
стороны реализуют аутентификацию посредством ключей для предварительного
совместного использования.