Руководство ПользователяM C2000

Настройка параметров IPsec

Важно

  • Доступ к этой функции возможен только после ввода пароля администратора.

Вкладка "Глобальные настройки IPsec"

Элемент

Описание

Функция IPsec

Укажите необходимость активации или деактивации функции IPsec.

Активн., Неактивн.

По умолчанию: [Неактивный]

Политика по умолчанию

Укажите необходимость использования политики IPsec по умолчанию.

Игнорировать, Разрешить

По умолчанию: [Разрешить]

Искл. груп.и ширковещат.передачу

Выберите службы, которые не должны применяться к IPsec, в следующем списке:

[DHCPv4], [DHCPv6], [SNMP], [mDNS], [NetBIOS], [Порт UDP 53550]

В обход AII ICMP

Укажите необходимость применения IPsec к пакетам ICMP (IPv4 и IPv6) в следующем списке:

[Активн.]: все пакеты ICMP будут пропущены без защиты IPsec.

Команда "ping" (эхо-запрос и эхо-ответ) не инкапсулируется IPsec.

[Неактивн.]: сообщения ICMP некоторых типов будут пропущены без защиты IPsec.

По умолчанию: [Неактивный]

Вкладка "Список политик IPsec"

Элемент

Описание

Номер политики IPsec.

Имя

Отображается название политики IPsec.

Настройки адреса

Отображается фильтр IP-адресов политики IPsec в следующем формате:

Удаленный адрес/длина префикса

Действие

Отображается действие, выполняемое в соответствии с политикой IPsec, например [Разрешить], [Игнорировать] или [Требовать безопасность].

Статус

Отображается состояние политики IPsec, например [Активный] или [Неактивный].

Для настройки политик IPsec выберите соответствующую политику IPsec и нажмите кнопку [Изменить], чтобы открыть страницу [Настройки для IP политики]. На странице [Настройки для IP политики] можно задать следующие настройки.

Настройки для IP политики

Элемент

Описание

Укажите номер от 1 до 10 для политики IPsec. Указанный номер определяет место политики в списке политик IPsec. Поиск политик осуществляется согласно их порядку в списке. Если указанный номер уже присвоен другой политике, настраиваемая политика получит номер прежней политики, а прежняя и все последующие политики будут соответственно перенумерованы.

Применение

Укажите необходимость активации или блокировки политики.

Имя

Введите название политики. Может содержать до 16 символов.

Тип адреса

Укажите тип IP-адреса (IPv4 или IPv6) для использования в процессе соединения с помощью функции IPsec.

Локальный адрес

Отображается IP-адрес этого принтера.

Удаленный адрес

Введите адрес устройства в формате IPv4 или IPv6, который будет использоваться для соединения. Может содержать до 39 символов.

Длина префикса

Введите длину префикса удаленного адреса, используя значения в диапазоне от 1 до 128. Если значение для этого параметра не указано, для формата IPv4 будет автоматически установлено значение "32", а для формата IPv6 - значение "128".

Действие

Выберите метод обработки IP-пакетов в следующем списке:

  • [Разрешить]: IP-пакеты отправляются и принимаются без применения к ним IPsec.

  • [Игнорировать]: IP-пакеты не принимаются.

  • [Требовать безопасность]: IPsec применяется к IP-пакетам и при отправке, и при приеме.

При выборе варианта [Требовать безопасность] необходимо задать значения параметров [Настройки IPsec] и [Настройки IKE].

Настройки IPsec

Элемент

Описание

Тип инкапсуляции

Выберите тип инкапсуляции в следующем списке:

  • [Транспортный]: выберите этот режим для защиты только содержательной части каждого IP-пакета при соединении с IPsec-совместимыми устройствами.

  • [Тоннельный]: выберите этот режим для полной защиты IP-пакетов. Такой метод рекомендуется для соединения между шлюзами безопасности (например, устройствами VPN).

Протокол безопасности

Выберите протокол безопасности в следующем списке:

  • [AH]: установка безопасного соединения с поддержкой только аутентификации.

  • [ESP]: установка безопасного соединения с поддержкой аутентификации и шифрования данных.

  • [ESP и AH]: установка безопасного соединения с поддержкой как шифрования данных, так и аутентификации пакетов, включая заголовки. Обратите внимание, что настройка этого протокола невозможна при выборе значения [Тоннельный] для параметра [Тип инкапсуляции].

Алгоритм аутентификации для AH

Укажите алгоритм аутентификации, который будет применяться при выборе значения [AH] или [ESP и AH] для параметра [Протокол безопасности]:

[MD5], [SHA1]

Алгоритм шифрования для ESP

Укажите алгоритм шифрования, который будет применяться при выборе значения [ESP] или [ESP и AH] для параметра [Протокол безопасности]:

[DES], [3DES], [AES-128], [AES-192], [AES-256]

Алгоритм аутентификации для ESP

Укажите алгоритм аутентификации, который будет применяться при выборе значения [ESP] для параметра [Протокол безопасности]:

[MD5], [SHA1]

Время жизни

Укажите срок действия IPsec SA (Security Association) в виде периода времени или объема данных. Срок действия SA истечет по завершении указанного периода времени или по достижении указанного объема данных.

В случае одновременного выбора переиода времени и объема данных срок действия SA истечет по достижении любого из этих значений, после чего по согласованию будет получено новое сопоставление безопасности SA.

Для настройки срока действия SA в виде периода времени введите количество секунд (300-172800).

По умолчанию: 300 секунд

Для указания срока действия SA в виде объема данных введите количество килобайт (20480-2147483647).

По умолчанию: 100000 килобайт

Безопасная пересылка ключа

Укажите необходимость активации или блокировки параметра PFS (Perfect Forward Secrecy - полная безопасность пересылки).

Параметры IKE

Элемент

Описание

Версия IKE

Отображается версия IKE.

Алгоритм шифрования

Укажите алгоритм шифрования:

[DES], [3DES], [AES-128], [AES-192], [AES-256]

Алгоритм аутентификации

Укажите алгоритм аутентификации:

[MD5], [SHA1]

Время жизни IKE

Укажите срок действия ISAKMP SA в виде периода времени. Введите количество секунд (300-172800).

По умолчанию: 300 секунд

Группа Диффе-Хеллмана для IKE

Выберите группу Диффи-Хеллмана для IKE, которая будет использоваться при создании ключа шифрования IKE:

[DH1], [DH2]

Предварит.выданный ключ

Укажите PSK (Pre-Shared Key - предварительно выданный ключ), который будет использоваться для аутентификации устройства связи. Может содержать до 32 символов.

Безопасная пересылка ключа

Укажите необходимость активации или блокировки параметра PFS (Perfect Forward Secrecy - полная безопасность пересылки).