Cet appareil fournit deux méthodes de paramètre de clé: manuel et échange automatique. Avec l'une ou l'autre de ces méthodes, des accords tels que l'algorithme IPsec et la clé doivent être spécifiés pour l'expéditeur et le destinataire. De tels accords constituent ce que l'on appelle un SA (Security Association, Association de sécurité). La communication IPsec est uniquement possible si les paramètres SA du destinataire et de l'expéditeur sont identiques.
Si vous utilisez la méthode d'échange automatique pour spécifier la clé de cryptage, les paramètres SA sont configurés automatiquement sur les machines des deux parties. Toutefois, avant de paramétrer le SA IPsec, les paramètres ISAKMPSA (Phase 1) sont configurés automatiquement. Après ceci, les paramètres SA IPsec (Phase 2) qui permettent la transmission IPsec réelle sont confgurés automatiquement.
De même, pour plus de sécurité, le SA peut être mis à jour régulièrement en appliquant une période de validité (limite de temps) pour ses paramètres. Cette machine supporte uniquement IKEv1 pour l'échange automatique de la clé de cryptage.
Si vous spécifiez la clé de cryptage manuellement, les paramètres SA doivent être partagés et spécifiés de manière identique par les deux parties. Pour garantir la sécurité de vos paramètres SA, nous conseillons de ne pas les échanger sur un réseau.
Notez que pour la méthode de spécification de la clé de cryptage tant manuelle qu'automatique, des paramètres multiples peuvent être configurés dans le SA.
Paramètres 1-4 et paramètre par défaut
À l'aide de la méthode d'échange manuelle ou automatique, vous pouvez configurer quatre jeux différents de détails SA (différentes clés partagées et algorithmes IPsec). Dans les paramètres par défaut de ces jeux, vous pouvez inclure des paramètres que les champs des jeux 1 à 4 ne peuvent pas contenir.
Lorsque IPsec est activé, le jeu 1 possède la priorité la plus élevée et le jeu 4 la moins élevée. Vous pouvez utiliser ce système de priorité pour cibler les adresses IP de manière plus sûre. Par exemple, définissez la plage IP la plus large à la priorité la plus faible (4) et définissez ensuite les adresses IP spécifiques au niveau de priorité le plus élevé (3 et supérieur). De cette manière, lorsque la transmission IPsec est activée pour une adresse IP spécifique, les paramètres de sécurité de niveau supérieur sont appliqués.