Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

260

Глава 17 Экраны VPN

End В этом поле введите номер порта для определения диапазона портов. Этот

номер порта должен быть больше, чем тот, что указан в предыдущем поле.

Если в поле Local Start Port оставлено значение 0, поле End также примет

значение 0.

Phase 1

Negotiation Mode В раскрывающемся списке выберите Main (основной) или Aggressive

(агрессивный). Несколько SA, соединяющихся через защищённый

межсетевой шлюз, должны иметь одинаковый режим согласования.

Pre-Shared Key Введите ваш ключ для предварительного совместного использования в этом

поле. Ключ для предварительного совместного использования

идентифицирует стороны соединения во время согласования в 1-й фазе IKE.

Термин “предварительное совместное использование” означает, что этот

ключ должен быть сообщен другой стороне прежде чем с ней может быть

установлен защищенный сеанс.
Введите от 8 до 31 символа ASCII (регистр, в котором набраны символы,

учитывается) или от 16 до 62 шестнадцатеричных символов (“0-9”, “A-F”).

Перед шестнадцатеричным кодом необходимо ставить приставку “0x” (ноль

икс). Длина этой приставки не входит в длину ключа (от 16 до 62 символов).

Например, в строке “0x0123456789ABCDEF” приставка “0x” означает, что

ключ указан в шестнадцатеричном виде, а последовательность

“0123456789ABCDEF” является непосредственным ключом.
На обоих концах туннеля VPN должен использоваться один и тот же ключ

для предварительного совместного использования. Если на обоих концах не

используется ключ для предварительного совместного использования, будет

получен пакет “PYLD_MALFORMED” (полезная нагрузка плохо

сформирована).

Encryption

Algorithm

В раскрывающемся списке выберите алгоритм шифрования: DES, 3DES или

AES.
При использовании любого из этих алгоритмов шифрования отправитель и

получатель должны использовать один и тот же секретный ключ, который

может применяться для шифрования и расшифровки сообщений или для

создания и проверки кода аутентификации сообщений. В алгоритме

шифрования DES используется 56-битный ключ. Тройной DES (3DES) –

разновидность DES, где используется 168- битовый ключ. Поэтому3DES

более защищен по сравнению с DES. Для него также требуется больше

вычислительных мощностей, что увеличивает задержки и снижает

производительность. В данной реализации AES используется 128-битный

ключ. AES обладает большим быстродействием, чем 3DES.

Authentication

Algorithm

В раскрывающемся списке выберите SHA1 или MD5. MD5 (свертка

сообщения, реализация 5) и SHA1 (защищенный алгоритм хеширования) –

это алгоритмы хеширования, используемые для аутентификации данных в

пакете. Алгоритм SHA1 обычно считается более надёжным, чем MD5, но он

несколько медленнее. Для минимальной защиты можно применять метод

MD5, а для наибольшей безопасности следует использовать SHA1.

SA Life Time

(Seconds)

Укажите в этом поле период времени, по истечении которого будет

автоматически производиться повторное согласование IKE SA. Допустимый

диапазон – от 60 до 3 000 000 секунд (почти 35 дней).
Короткий период действия SA позволяет усилить безопасность, давая

команду двум межсетевым шлюзам VPN обновлять ключи шифрования и

аутентификации. Однако каждый раз при повторном согласовании туннеля

VPN все пользователи, получающие доступ к удалённым ресурсам,

временно отключаются.

Таб. 88 Расширенная настройка политик VPN

ПОЛЕ

ОПИСАНИЕ