Eltex RG-2402G-W — настройка абонентского шлюза для шифрования данных IPSec [38/128]
Макгруп McGrp.ru

Eltex RG-2402G-W — настройка абонентского шлюза для шифрования данных IPSec [38/128]

Превью страниц Страница 38 / 128
Eltex RG-2402G-W [38/128] ____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
38 Абонентский шлюз серии RG-2400/RG-4400
Включить разрешить использование протокола IPSec для шифрования данных;
Интерфейс настройка имеет силу только при выборе для Интернета протоколов PPPoE,
PPTP или L2TP и определяет, для доступа по какому интерфейсу использовать IPSec: Ethernet
(интерфейс второго доступа) или PPP (интерфейс первого доступа). При выборе протоколов
DHCP или Static в услуге активен только один интерфейс (Ethernet), по которому возможен
доступ только посредством IPSec.
Локальный IP-адрес адрес устройства для работы по протоколу IPSec;
Адрес локальной подсети совместно с Маской локальной подсети определяют локальную
подсеть для создания топологий сеть-сеть или сеть-точка;
Адрес удаленной подсети совместно с Маской удаленной подсети определяют адрес
удаленной подсети для связи с использованием шифрования по протоколу IPSec. Если маска
имеет значение 255.255.255.255 связь осуществляется с единственным хостом. Маска,
отличная от 255.255.255.255, позволяет задать целую подсеть. Таким образом,
функциональные возможности устройства позволяют организовать 4 топологии сети с
использованием шифрования трафика по протоколу IPSec: точка-точка, сеть-точка, точка-
сеть, сеть-сеть;
Удаленный шлюз шлюз, через который осуществляется доступ к удаленной подсети;
Режим NAT-T выбор режима NAT-T. NAT-T (NAT Traversal) инкапсулирует трафик IPSec и
одновременно создает пакеты UDP, которые устройство NAT корректно пересылает. Для
этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во
всей сети обрабатывался как обычный пакет UDP, и хост получателя не проводил никаких
проверок целостности. После поступления пакета к месту назначения заголовок UDP
удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет
IPSec. C помощью техники NAT-T возможно установление связи между клиентами IPSec в
защищённых сетях и общедоступными хостами IPSec через межсетевые экраны. Режимы
работы NAT-T:
on режим NAT-T активируется только при обнаружении NAT на пути к хосту
назначения;
force в любом случае использовать NAT-T;
off не использовать NAT-T при установлении соединения.
Доступны следующие настройки NAT-T:
UDP-порт NAT-T UDP-порт пакетов, в которые осуществляется инкапсуляция
сообщений IPSec. По умолчанию 4500.
Интервал отправки пакетов NAT-T keepalive, сек интервал отправки
периодических сообщений для поддержания активного состояния UDP-соединения
на устройстве, выполняющего функции NAT.
Агрессивный режим режим работы на фазе 1, когда обмен всей необходимой
информацией осуществляется тремя нешифрованными пакетами. В стандартном режиме
(main mode) обмен осуществляется шестью нешифрованными пакетами;
Тип идентификатора тип идентификатора устройства: address, fqdn, keyed, user_fqdn,
asn1dn;
Идентификатор идентификатор устройства, используемый для идентификации на фазе 1
(заполнять при необходимости). Формат идентификатора зависит от типа.
Фаза 1. На первом этапе (фазе) два узла «договариваются» о методе идентификации, алгоритме
шифрования, хэш алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга. Для фазы 1
имеются следующие настройки:
Заранее заданный ключ секретный ключ, используемый в алгоритме аутентификации на
фазе 1. Представляет собой строку от 8 до 63 символов;
Алгоритм аутентификации выбор одного из списка алгоритмов аутентификации: MD5,
SHA1;

Содержание

269

Похожие устройства

Узнайте, как настроить абонентский шлюз для использования протокола IPSec, включая параметры интерфейса, локальные и удаленные подсети, а также режимы NAT-T.

Google Play RuStore