Inställningar för automatiskt byte av krypteringsnycklar
Föregående
För konfigurering av kod stödjer den här maskinen automatiskt kodutbyte för att ange överenskommelser som IPsec-algoritmen och kod för både avsändare och mottagare. Sådana överensstämmelser utgör det som är känt som SA (säkerhetsassociation). IPsec-kommunikation är möjlig endast om mottagarens och avsändarens SA-inställningar är identiska.
Om du använder metoden för automatiskt byte för att ange krypteringskoden, konfigureras SA-inställningarna automatiskt på båda parternas maskiner. Innan du ställer in IPsec SA autokonfigureras även inställningarna för ISAKMP SA (Fas 1). Efter detta autokonfigureras inställningarna för IPsec SA (fas 2), som gör faktisk IPsec-överföring möjlig.
För ytterligare säkerhet kan SA periodvis uppdateras automatiskt genom att man tillämpar en giltighetsperiod (tidsbegränsning) för dess inställningar. Den här maskinen stöder endast IKEv1 för automatiskt byte av krypteringskod.
Observera att det är möjligt att konfigurera flera SA:s.
Inställningar 1-4 och standardinställning
Med hjälp av metoden automatiskt utbyte, kan du konfigurera fyra separata uppsättningar SA-detaljer (så som olika delade koder och IPsec-algoritmer. I standardinställningarna för dessa uppsättningar kan du ta med inställningar som fälten för uppsättning 1 till 4 inte kan innehålla.
När IPsec är aktiverat har uppsättning 1 högsta prioritet och uppsättning 4 har den lägsta. Du kan använda detta prioriteringssystem för att sätta IP-adresser som mål på ett mer säkert sätt. Ställ till exempel in det bredaste IP-intervallet på lägsta prioritet (4) och ställ sedan in särskilda IP-adresser på en högre prioritetsnivå (3 eller högre). På det sättet kommer de högre inställningarna att tillämpas när IPsec-överföringen aktiveras för en särskild IP-adress.
