IPSec VPN | 自动 IKE IPSec VPN |
|
|
为自动 IKE VPN 添加第一阶段配置
当您添加第一阶段配置的时候,您需要定义 FortiGate 设备和 VPN 远端 (网关或 客户)用于彼此认证以建立 IPSec VPN 通道的有关条件。
第一阶段配置和第二阶段配置彼此相关。在第一阶段中 VPN 的两端是经过认证的, 在第二阶段则建立起了通道。您可以选择使用相同的第一阶段参数建立多个通道。换 句话说,同一个远程 VPN 端点 (网关或客户)可以有多个连接到本地 VPN 端点
(FortiGate 设备)的多个通道。
当 FortiGate 设备收到一个 IPSec VPN 连接请求时,它首先根据第一阶段参数认证 VPN 端点。然后,它根据请求的源地址和目的地址发起一个 IPSec VPN 通道和应用加密 策略。
按以下步骤添加第一阶段配置:
1 进入 VPN > IPSEC > 第一阶段。
2 单击新建以添加新的第一阶段配置。
3 输入远程 VPN 端点的网关名称。
远端 VPN 端点可以是另一个网络的网关或者互联网上的一个独立的客户。
这个名称可以含有数字
4 选择远程网关地址类型。
·如果远程 VPN 端点有静态 IP 地址,选择静态 IP 地址。
·如果远程 VPN 端点使用动态 IP 地址 (DHCP 或 PPPoE),或者远程 VPN 端点有一个无 须端点识别处理的静态地址,选择拨号用户。
根据您所选择的远程网关地址类型,可能还要填写其他栏目。
| 远程网关:静态 IP 地址 |
IP 地址 | 如果您选择了静态 IP 地址,将出现地址栏。输入连接到 FortiGate 设备的 |
| 远程 IPSec VPN 网关或者客户的 IP 地址。这个内容是必须输入的。 |
| 远程网关:拨号用户 |
端点选项 | 如果您选择了拨号用户,在高级选项中将出现端点选项。可以使用端点选项 |
| 在第一阶段协商中认证远程 VPN 的 ID。详细信息请见步骤 2。 |
5 选择进取模式或主模式 (ID 保护)。
当使用进取模式时,VPN 双方使用明文交换识别信息。当使用主模式时,识别信息是隐 藏的。
VPN 双方必须使用同一模式。
6 配置 P1 提议。
最多可以为第一阶段的提议选择三个加密算法和认证算法。 VPN 通道的两端必须使用相同的 P1 阶段提议设置。
7 选择 DH 组。
选择一个或多个
183 |
