IPSec VPN 自动 IKE IPSec VPN
FortiGate-1000 安装和配置指南
183为自动 IKE VPN 添加第一阶段配置当您添加第一阶段配置的时候,您需要定义FortiGate 设备和 VPN 远端 (网关或
客户)用于彼此认证以建立 IPSec VPN通道的有关条件。
第一阶段配置和第二阶段配置彼此相关。在第一阶段中 VPN 的两端是经过认证的,
在第二阶段则建立起了通道。您可以选择使用相同的第一阶段参数建立多个通道。换
句话说,同一个远程VPN 端点 (网关或客户)可以有多个连接到本地VPN 端点
(FortiGate 设备)的多个通道。
当FortiGate 设备收到一个 IPSec VPN连接 请求时,它首先根据第一阶段参数认证
VPN 端点。然后,它根据请求的源地址和目的地址发起一个 IPSec VPN 通道和应用加密
策略。
按以下步骤添加第一阶段配置:
1进入 VPN > IPSEC > 第一阶段。
2单击新建以添加新的第一阶段配置。
3输入远程VPN 端点的网关名称。
远端 VPN 端点可以是另一个网络的网关或者互联网上的一个独立的客户。
这个名称可以含有数字(0-9), 大写和小写字母(A-Z,a-z),以及特殊字符-和
_。不能使用其它特殊字符或者空格符。
4选择远程网关地址类型。
·如果远程VPN 端点有静态 IP 地址,选择静态 IP 地址。
·如果远程VPN 端点使用动态IP 地址 (DHCP 或PPPoE),或者远程VPN 端点有一个无
须端点识别处理的静态地址,选择拨号用户。
根据您所选择的远程网关地址类型,可能还要填写其他栏目。
5选择进取模式或主模式 (ID 保护)。
当使用进取模式时,VPN 双方使用明文交换识别信息。当使用主模式时,识别信息是隐
藏的。
VPN 双方必须使用同一模式。
6配置 P1 提议。
最多可以为第一阶段的提议选择三个加密算法和认证算法。
VPN 通道的两端必须使用相同的P1 阶段提议设置。
7选择DH 组。
选择一个或多个 Diffie-Hellman 组用于 IPSec VPN连接的第 一阶段中的提议。
一般来说,VPN 双方应当使用相同的DH 组设置。
远程网关:静态 IP 地址
IP 地址 如果您选择了静态 IP 地址,将出现地址栏。输入连接到 FortiGate 设备的
远程IPSec VPN 网关或者客户的IP 地址。这个内容是必须输入的。
远程网关:拨号用户
端点选项 如果您选择了拨号用户,在高级选项中将出现端点选项。可以使用端点选项
在第一阶段协商中认证远程VPN 的ID。详细信息请见步骤 2。