对于密钥配置,本机支持使用自动密钥交换来为发送者和接收者双方指定IPsec算法等协议。此类协议即构成所谓的SA(安全关联)。仅当接收者和发送者的SA设置相同时,才能进行IPsec通信。
如果使用自动交换方法指定加密密钥,则会在双方的机器上自动配置SA设置。但在设置IPsec SA之前,将自动配置ISAKMP SA(阶段1)设置。之后,将自动配置IPsec SA(阶段2)设置,通过这些设置进行实际IPsec传送。
此外,为了进一步实现安全性,通过为SA设置应用有效期(时间限制)来自动定期更新SA。对于加密密钥自动交换,本机仅支持IKEv1。
请注意,可以配置多个SA。
设置1-4和默认设置
使用自动交换方法,您可以分别配置四组SA详细信息(如,不同的共享密钥和IPsec算法)。在这些组的默认设置中,您可以包括1到4组的字段中无法包含的设置。
启用IPsec时,组1的优先级最高,组4的优先级最低。您可以使用此优先级系统更加安全地定位IP地址。例如,在最低优先级(4)处设置最宽的IP范围,而在较高的优先级(3或更高)处设置特定的IP地址。这样,当为特定IP地址启用IPsec传送时,系统将应用较高等级的设置。