Cisco Cisco ISA550 Integrated Security Appliance Guida Utente
VPN
Configuration d'un VPN de site à site
Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500
320
8
ÉTAPE 2
Pour ajouter une nouvelle stratégie, cliquez sur Add.
Autres options : pour modifier une entrée, cliquez sur l'icône de modification
(crayon). Pour supprimer une entrée, cliquez sur l'icône de suppression (x). Pour
supprimer plusieurs entrées, cochez-les et cliquez sur Delete. La stratégie IKE par
défaut (DefaultIke) ne peut être ni modifiée, ni supprimée.
(crayon). Pour supprimer une entrée, cliquez sur l'icône de suppression (x). Pour
supprimer plusieurs entrées, cochez-les et cliquez sur Delete. La stratégie IKE par
défaut (DefaultIke) ne peut être ni modifiée, ni supprimée.
La fenêtre IKE Policy - Add/Edit s'ouvre.
ÉTAPE 3
Saisissez les informations suivantes :
•
Name : entrez le nom de la stratégie IKE.
•
Encryption : sélectionnez l'algorithme utilisé pour négocier l'association de
sécurité. Quatre algorithmes sont pris en charge par l'Cisco ISA500 :
ESP_3DES, ESP_AES_128, ESP_AES_192 et ESP_AES_256.
sécurité. Quatre algorithmes sont pris en charge par l'Cisco ISA500 :
ESP_3DES, ESP_AES_128, ESP_AES_192 et ESP_AES_256.
•
Hash : spécifiez l'algorithme d'authentification pour l'en-tête VPN. Deux
algorithmes de hachage sont pris en charge par l'Cisco ISA500 : SHA1 et
MD5.
algorithmes de hachage sont pris en charge par l'Cisco ISA500 : SHA1 et
MD5.
REMARQUE : Vérifiez que l'algorithme d'authentification est configuré de
manière identique des deux côtés.
manière identique des deux côtés.
•
Authentication : spécifiez la méthode d'authentification utilisée par l'Cisco
ISA500 pour établir l'identité de chaque homologue IPsec.
ISA500 pour établir l'identité de chaque homologue IPsec.
-
Pre-shared Key : utilise une clé unique, basée sur votre mot de passe,
pour l'authentification. La clé alphanumérique est partagée avec
l'homologue IKE. L'évolutivité des clés pré-partagée face à un réseau en
expansion est insuffisante, mais elles sont plus faciles à configurer dans
un petit réseau.
pour l'authentification. La clé alphanumérique est partagée avec
l'homologue IKE. L'évolutivité des clés pré-partagée face à un réseau en
expansion est insuffisante, mais elles sont plus faciles à configurer dans
un petit réseau.
-
RSA_SIG : utilise un certificat numérique pour l'authentification. RSA_SIG
est un certificat numérique avec des clés générées par l'algorithme de
signatures RSA. Dans ce cas, un certificat doit être configuré pour que la
signature RSA fonctionne.
est un certificat numérique avec des clés générées par l'algorithme de
signatures RSA. Dans ce cas, un certificat doit être configuré pour que la
signature RSA fonctionne.
•
D-H Group : sélectionnez l'identifiant de groupe Diffie-Hellman que les deux
homologues IPsec utilisent pour dériver un secret partagé sans se le
transmettre. Le groupe D-H définit la puissance de l'algorithme en bits. Plus
le numéro du groupe Diffie-Hellman est bas, moins il a besoin de temps CPU
pour être exécuté. Plus le numéro du groupe Diffie-Hellman est élevé, plus la
sécurité est élevée.
homologues IPsec utilisent pour dériver un secret partagé sans se le
transmettre. Le groupe D-H définit la puissance de l'algorithme en bits. Plus
le numéro du groupe Diffie-Hellman est bas, moins il a besoin de temps CPU
pour être exécuté. Plus le numéro du groupe Diffie-Hellman est élevé, plus la
sécurité est élevée.
-
Groupe 2 (1 024 bits)
-
Groupe 5 (1 536 bits)