通过本页设定，你可在移动用户和本地vpn设备间建立新的隧道。你可选择隧道为单独的移动用户建立隧道。或选择组vpn为多个vpn客户建立隧道。

    tunnei

    tunnelno．：在1-50之间自动产生。如图6-47。

    tunnel name：当隧道打开时，输入隧道名称，允许你识别多个隧道而不必与隧道另一端的名称相同。

    interface：从下拉菜单中选择。当wan打开，会有两个选择：wan1和wan2。

    enable：确定打开vpn。

    group vpn

    groupno．：在1-2之间自动产生。rv082支持两组vpn。

    group id name：输入组id名。

    interface：从下拉菜单中选择。当wan打开，会有两个选择：wan1和wan2。

    enable：确定打开组vpn。

    local group setup

    local security gateway type：有5类型，ip only，ip+domain name(fqdn)

    authentication，ip+e-mail addr．(user fqdn)authentication，dynamicip+domain name(fqdn)authentication，dynamicip+e-mailaddr．(user fqdn)

    authentication。本地安全网关类型应与另一端vpn设备的隧道的远程安全网关类型相匹配。

    ip only：仅指定的ip地址能访问隧道。路由器互联网ip会在此区域自动显示。

    ip+domain name(fqdn)authentication：输入fqdn，ip地址会自动出现。

    fqdn是为特定的在互联网上的电脑的主机名和域名，例如vpn．myvpnserveer．com。

    ip和fqdn必须与远程vpn设备的远程安全网关类型相同，相同的ip和fqdn只能用在一个隧道连接。

    ip+e-mail addr．(user fqdn)authentication：输入电子邮件地址，ip地址会自动出现。

    dynamic ip+domain name(fqdn)authentication：如果本地安全网关有动态ip，选择此类。当远程安全网关要求和路由器建立隧道，路由器作为回应者。如选择此类，输入鉴定域名；域名必须与远程vpn设备的远程安全网关相同。相同的域名只能用在一个隧道连接。用户不能使用相同的域名建立一个新的隧道连接。

    dynamic ip+e-mailaddr．(user fqdn)authentication：如果本地安全网关有动态ip，选择此类。当远程安全网关要求和路由器建立隧道，路由器作为回应者。如选择此类，输入鉴定电子邮件地址。

    local securlty group type

    选择路由器后的本地局域网用户可以使用vpn隧道。本地安全组类型可能是单独的ip address、subnet或ip range。本地安全组必须与其它路由器的远程安全组匹配。

    ip address：仅仅有特定ip地址的电脑可以访问隧道，默认ip是192．168．1．0。

    subnet：允许所有在本地子网的电脑访问隧道。输入ip地址和子网掩码，默认ip是192．168．1．0，默认子网掩码是255．255．255．192。

    ip range：结合子网和ip地址，你可在子网内指定ip地址范围的电脑访问隧道。默认的ip范围是192．168．1．0-254。

    remote client setup

    with tunnel enabled

    remote client：有5类型，ip only，ip+domain name(fqdn)authentication，ip+e-mailaddr．(user fqdn)authentication，dynamic ip+domain name(fqdn)

    authentication，dynamic ip+e-mailaddr．(user fqdn)authentication。

    ip only：如果你知道远程客户的固定ip，你可以选择输入ip。只有你指定的ip地址才可访问隧道。这个地址可以用支持ipsec的vpn客户程序计算出来。

    ip+domain name(fqdn)authentication：输入使用支持ipsec的vpn客户程序的在隧道另一端的用户的fqdn和ip地址。fqdn是为特定的在互联网上的电脑的主机名和域名，例如vpn．myvpnserveer．com。ip和fqdn必须与远程vpn设备的远程安全网关类型相同，相同的ip和fqdn只能用在一个隧道连接。

    ip+e-mail addr．(user fqdn)authentication：如选择，输入使用支持ipsec的vpn客户程序的在隧道另一端的用户的电子邮件地址和ip地址。

    dynamic ip+domain name(fqdn)authentication：如果本地安全网关有动态ip，选择此类。远程安全网关是动态ip，因此你不需要输入ip地址。当远程安全网关要求和路由器建立隧道，路由器作为回应者。如选择此类，输入鉴定域名；域名必须与远程vpn设备的远程安全网关相同。相同的域名只能用在一个隧道连接。用户不能使用相同的域名建立一个新的隧道连接。

    dynamic ip+e-mail addr．(userfqdn)authentication：如果选择此类，远程安全网关是动态ip，因此你不需要输入ip地址。当远程安全网关要求和路由器建立隧道，路由器作为回应者。如选择此类，输入鉴定电子邮件地址。

    remote client：有两种远程客户。

    with group vpn enabled：domain name或e-mail address。

    domain name(fqdn)(fully qualified domain name)：如选择fqdn，输入远程客户的fqdn，当远程客户要求建立隧道。域名必须与远程客户的本地设置相同。

    e-mail address(user fqdn)：输入使用fqdn的电子邮件地址。

    ipsec setup

    通过共享加密代码钥匙，隧道的两端必须同意加密类型和路径，数据才能被解密。钥匙管理有两种模式，manual和ike with preshared key(automatic)。

    manual

    如果选择手动，你自己产生钥匙。基本上手动钥匙管理被使用在小的静态环境或以解决问题为目的的。两边都必须使用相同的钥匙管理模式。

    incoming & outgoing spi(security parameter index)：spi被加载在esp

    (encapsulating security payload protocol)的报头中且使接收者和发送者选择sa，在此数据包应该被处理。十六仅制数是被接受的，有效范围是100-ffffffff。每个隧道必须有唯一的入站spi和出站spi。没有两个隧道共享相同的spi，在此引入的spi必须和在隧道另一端流出的spi值相匹配。

    encryption：有两种加密方式，des和3des。加密方式决定在加密／解密esp数据包的钥匙长度。des是56位加密，3des是168位加密。3des因其更安全是被推荐的。两边必须使用相同的方式。

    authentication：有两种鉴定方式，md5和sha。鉴定方式决定鉴定esp数据包的方式。md5是一种散列算法产生128位数。sha是一种散列算法产生160位数。sha因其更安全是被推荐的。两边必须使用相同的加密方式。

    encryption key：指定用来加密／解密ip传输，加密钥匙由你自主产生，16位进制数可以接受。两边必须使用相同的加密方式。选择des加密钥匙是16位，如果你未写满16位，它会自动用0填充。选择3des加密钥匙是48位，如果你未写满48位，它会自动用0填充。

    authentication key：这部分指定用来鉴定ip传输，加密钥匙由你自主产生，16位进制数可以接受。两边必须使用相同的加密方式。选择md5加密钥匙是32位，如果你未写满32位，它会自动用0填充。选择sha1加密钥匙是40位，如果你未写满40位，它会自动用0填充。

    ike with preshared kev(automatic)

    ike(internet key exchange protocol)是互联网钥匙交换协议，用来为sa协商具体钥匙。ike使用preshared key鉴定远程的ike。

    phase1 dh group：phase1用来建立security association(sa)。dh是钥匙交换协议，使用在1阶段鉴定处理确定preshared key。这里有3组不同的最初钥匙长度，group1是768位，group2是1024位，group5是1536位，如果注重网络速度选择group1，如果网络安全重要选择group5。

    phase1 encryption：有两种加密方式，des和3des。加密方式决定使用加密解密esp数据包的钥匙的长度。des是56位，3des是168位。两边必须使用相同的加密方式。3des是被推荐的因其更安全。

    phase 1 authentication：有两种鉴定方式，md5和sha。鉴定方式决定鉴定esp数据包的方式。两边必须使用相同的加密方式。md5是一种散列算法并产生128位数。sha是一种散列算法并产生160位数。sha是被推荐的因其更安全。两边必须使用相同的加密方式。

    phase1 sa life time：允许你设置vpn隧道活动时间长度。默认是28800秒。

    perfect forward secrecy：如果pfs打开，ikephase2算法会为ip传输加密和鉴定产生新钥匙。如果pfs打开，黑客就不能解开加密钥匙，也就不能获得其它ipsec钥匙。

    phase 2 dh group：这里有3组不同的最初钥匙长度，group1是768位，group2是1024位，group5是1536位，如果注重网络速度选择group1，如果网络安全重要选择group5。你可以用选择phase1 dh组来选择不同的组。如果关闭perfect forward secrecy，因没有新钥匙产生就不需要设置phase2dh组，phase2 dh 组钥匙与phase1 dh组相同。

    phase 2 encryption：phase2用来建立一个或更多的ipsec sas。有两种加密方式，des和3des。加密方式决定使用加密解密数据包的钥匙的长度。des是56位，3des是168位。两边必须使用相同的加密方式。如果用户打开ah算法，建议在phase2选择null关闭加密解密esp数据包，但隧道的两边必须使用同样的设定。

    phase 2 authentication：有两种鉴定方式，md5和sha。鉴定方式决定鉴定esp数据包的方式。两边必须使用相同的加密方式。md5是一种散列算法并产生128位数。

    如果用户打开ah算法，建议在phase2选择null关闭加密解密esp数据包，但隧道的两边必须使用同样的设定。

    phase 2 sa life time：允许你设置vpn隧道活动时间长度。默认是3600秒。

    preshared key：在此使用字符和16进制数。最大输入是30字符。两边必须使用相同的pre-shared钥匙。推荐变更preshared钥匙以使vpn安全最优化。

    单击save settings保存设置或单击cancel changes撤消变更。

    advanced

    对多数用户，vpn设置页己足够。本设备提供advanced ipsec设置页给一些特殊用户使用。单击adcanced按钮连接此页。高级设置仅为带ike的preshare钥匙模式的ipsec提供设置。如图6-48。

    aggressive mode：phase1交换有两种类型：main mode和aggressive mode。

    aggressive mode仅需要主模式在phase1 sa交换信息的一半，如果强调网络安全选择主模式，强调网络速度选择挑战模式。当组vpn打开，它会被限制为挑战模式。如果在远端客户类型在隧道模式中选择动态ip，它也会被限制为挑战模式。

    compress(support ip payload compression protocol(ip comp)

    路由器支持ip有效载荷压缩协议。ip有效载荷压缩是减少ip数据尺寸的协议。如果压缩打开，当初始化连接时路由器建议压缩。如果响应方拒绝此建议，路由器不会执行压缩。当路由器作为响应者，路由器通常会接受压缩尽管未打开压缩。

    keep-alive：这种机制帮助保持与ipsec隧道连接。无论连接是否断开或被重新检测它都会迅速建立。

    ah hash algorithm：ah(authentication header)协议描述数据包格式和数据包结构的默认标准。将ah作为安全协议使用，它运用加密学复述功能，根据ip包的数据生成一个mac。此mac随数据包发送，允许网关确认原始ip数据包的整体性，确保数据在通过互联网的途中不受损坏。有两种算法md5和sha1，md5产生128位分类来鉴别包数据sha1产生160位分类来鉴别包数据。

    单击save settings按扭完成设置或单击cancel changes按扭放弃变更。