Konfigurieren des IPsec-Tunnels zwischen SD-WAN und Geräten von Drittanbietern

January 20, 2020

Beigesteuert von: C

So konfigurieren Sie den IPsec-Tunnel für Intranet- oder LAN-Dienst:

Navigieren Sie im Konfigurations-Editorzu Verbindungen> Site anzeigen> [Standortname]> IPSec-Tunnel. Wählen Sie einen Diensttyp (LAN oder Intranet).
Geben Sie einen Namen für die Servicetyp ein. Für den Intranetdiensttyp bestimmt der konfigurierte Intranetserver, welche lokalen IP-Adressen verfügbar sind.
Wählen Sie die verfügbare lokale IP-Adresse aus, und geben Sie die Peer-IP-Adresse für den virtuellen Pfad ein, mit dem Sie Peer abschließen möchten.

Hinweis

Wenn der Diensttyp Intranet ist, wird die IP-Adresse vom gewählten Intranetdienst vorab festgelegt.
Konfigurieren Sie IPSec-Einstellungen, indem Sie die in den folgenden Tabellen beschriebenen Kriterien anwenden. Wenn Sie fertig sind, klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

Feld	Beschreibung	Wert
Servicetyp	Wählen Sie einen Servicetyp aus dem Dropdownmenü	Intranet, LAN
Name	Wenn der Diensttyp Intranet ist, wählen Sie aus der Liste der konfigurierten Intranetdienste im Dropdownmenü aus. Wenn der Diensttyp LAN ist, geben Sie einen eindeutigen Namen ein	Textzeichenfolge
Lokale IP	Wählen Sie die lokale IP-Adresse des IPSec-Tunnels aus dem Dropdownmenü der verfügbaren virtuellen IP-Adressen, die an diesem Standort konfiguriert sind.	IP-Adresse
Peer-IP	Geben Sie die Peer-IP-Adresse des IPSec-Tunnels ein	IP-Adresse
MTU	Geben Sie die MTU für die Fragmentierung von IKE- und IPSec-Fragmenten ein	Standard: 1500
IKE-Einstellungen	Version: Wählen Sie eine IKE-Version aus dem Dropdownmenü	IKEv1 IKEv2
Modus	Wählen Sie einen Modus aus dem Dropdownmenü	FIPS-konform: Main, nicht FIPS-konform: Aggressiv
Identität	Wählen Sie eine Identität aus dem Dropdownmenü	Automatische IP-Adresse Manuelle IP-Adresse Benutzer-FQDN
Authentifizierung	Wählen Sie den Authentifizierungstyp aus dem Dropdownmenü	Pre-Shared Key: Wenn Sie einen vorinstallierten Schlüssel verwenden, kopieren Sie ihn und fügen Sie ihn in dieses Feld ein. Klicken Sie auf das Eyeball () -Symbol, um den Pre-Shared Key anzuzeigen. Zertifikat: Wenn Sie ein Identitätszertifikat verwenden, wählen Sie es aus dem Dropdownmenü aus.
Validieren der Peer-Identität	Aktivieren Sie dieses Kontrollkästchen, um den Peer des IKE zu validieren. Wenn der ID-Typ des Peers nicht unterstützt wird, aktivieren Sie diese Funktion nicht	Ohne
DH-Gruppe	Diffie auswählen — Hellman-Gruppe für die IKE-Schlüsselgenerierung aus dem Dropdownmenü	FIPS-konform: Gruppe 1, FIPS-konform: Gruppe 2 Gruppe 5 Gruppe 14 Gruppe 15 Gruppe 16 Gruppe 19 Gruppe 20 Gruppe 21
Hash-Algorithmus	Wählen Sie einen Algorithmus aus dem Dropdownmenü, um IKE-Nachrichten zu authentifizieren	Nicht FIPS-konform: MD5 FIPS-konform: SHA1 SHA-256
Verschlüsselungsmodus	Wählen Sie den Verschlüsselungsmodus für IKE-Nachrichten aus dem Dropdownmenü	AES 128-Bit AES 192-bit AES 256-Bit
Lebensdauer (e)	Geben Sie die bevorzugte Dauer in Sekunden ein, für die eine IKE-Sicherheitszuordnung vorhanden sein soll.	3600 Sekunden (Standard)
Lebensdauer (en) Max.	Geben Sie die maximal bevorzugte Dauer in Sekunden ein, um eine IKE-Sicherheitszuordnung zu ermöglichen.	86400 Sekunden (Standard)
DPD-Zeitüberschreitung (en)	Geben Sie das Timeout für die Dead Peer Detection in Sekunden für VPN-Verbindungen ein.	300 Sekunden (Standard)
IKEv2	Peer-Authentifizierung: Wählen Sie Peer-Authentifizierung aus dem Dropdownmenü	Gespiegeltes, vorgeteiltes Schlüsselzertifikat
IKE2 - Vorgeteilter Schlüssel	Peer Pre-Shared Key: Fügen Sie den IKEv2 Peer Pre-Shared Key zur Authentifizierung in dieses Feld ein. Klicken Sie auf das eyeball () -Symbol, um den Pre-Shared Key anzuzeigen.	Textzeichenfolge
Integritätsalgorithmus	Wählen Sie im Dropdownmenü einen Algorithmus als Hashing-Algorithmus aus, der für die HMAC-Verifizierung verwendet werden soll.	Nicht FIPS-konform: MD5 FIPS-konform: SHA1 SHA-256

Hinweis:

Wenn der abschließende IPSec-Router Hash-basierten Message Authentication Code (HMAC) in der Konfiguration enthält, ändern Sie den IPSec-Modus in EXP+Auth mit einem Hashing-Algorithmus als SHA1 .

lokalisierte Grafik

IPsec- und IPsec-geschützte Netzwerkeinstellungen:

Feld	Beschreibung	Wert (e)
Tunneltyp	Wählen Sie den Tunneltyp aus dem Dropdownmenü	ESP ESP+Auth ESP+NULL AH
PFS Gruppe	Wählen Sie Diffie—Hellman-Gruppe für die perfekte Forward Secrecy-Schlüsselgenerierung aus dem Dropdownmenü	Keine Gruppe 1 Gruppe 2 Gruppe 5 Gruppe 14 Gruppe 15 Gruppe 16 Gruppe 19 Gruppe 20 Gruppe 21
Verschlüsselungsmodus	Wählen Sie den Verschlüsselungsmodus für IPSec-Nachrichten aus dem Dropdownmenü	Wenn Sie sich für ESP oder ESP+ Auth entscheiden, wählen Sie eine der folgenden Optionen: AES 128-bit, AES 192-bit, AES 256-bit, AES 128-bit, GCM 64-Bit, AES 192-bit, GCM 64-Bit, AES 256-bit, GCM 64-Bit, AES 128-bit, GCM 96-Bit, AES 192-bit, GCM 96-Bit, AES 256-bit, GCM 96-Bit, AES 128-bit, GCM 128-Bit, AES 192-bit, GCM 128-Bit, AES 256-bit, GCM 128-Bit
Lebensdauer (e)	Geben Sie die Zeit in Sekunden ein, um eine IPSec-Sicherheitszuordnung zu ermöglichen.	28800 Sekunden (Standard)
Max. Lebensdauer (n)	Geben Sie die maximale Zeit in Sekunden ein, um eine IPSec-Sicherheitszuordnung zu ermöglichen.	86400 Sekunden (Standard)
Lebensdauer (KB)	Geben Sie die Datenmenge in Kilobyte ein, für die eine IPSec-Sicherheitszuordnung vorhanden sein soll.	Kilobyte
Lebensdauer (KB) Max.	Geben Sie die maximale Datenmenge in Kilobyte ein, um eine IPSec-Sicherheitszuordnung zu ermöglichen.	Kilobyte
Verhalten bei Nichtübereinstimmungen im Netzwerk	Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn ein Paket nicht mit den geschützten Netzwerken des IPSec-Tunnels übereinstimmt.	Löschen, unverschlüsselt senden, Nicht-IPSec-Route verwenden
IPsec-geschützte Netzwerke	Quell-IP/Präfix: Nachdem Sie auf die Schaltfläche Hinzufügen (+ Hinzufügen) geklickt haben, geben Sie die Quell-IP und das Präfix des Netzwerkverkehrs ein, den der IPSec-Tunnel schützt.	IP-Adresse
IPsec-geschützte Netzwerke	Ziel-IP/Präfix: Geben Sie die Ziel-IP und das Präfix des Netzwerkverkehrs ein, den der IPSec-Tunnel schützt.	IP-Adresse

lokalisierte Grafik

Überwachung von IPSec-Tunneln

Navigieren Sie zu Monitoring>IKE/IPsec in der Benutzeroberfläche der SD-WAN-Appliance, um die IPSec-Tunnelkonfiguration anzuzeigen und zu überwachen.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Konfigurieren des IPsec-Tunnels zwischen SD-WAN und Geräten von Drittanbietern

January 20, 2020

Beigesteuert von: C

In diesem Artikel

Überwachung von IPSec-Tunneln

Edit this article