自动 IKE IPSec VPN | IPSec VPN |
|
|
8 输入密钥寿命。
指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单 位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中 的密钥有效期可以从 120 秒到 172800 秒。
9 认证方式可以设置为预置密钥或者 RSA 签名。
·如果您选择了预置密钥,输入一个由 VPN 双方共享的密钥。这个密钥可以包含任何字 符但是长度不能少于 6 个字符。只有网络管理员有权知道这个密钥。要防御密码猜 测攻击,一个好的预置密钥应当包含至少 16 个随机选择的字符。
·如果您选择了 RSA 签名,选择一个由认证中心 (CA)进行数字签名的本地认证。要 为 FortiGate 设备添加一个本地认证,请见 第 188 页 “ 获得签名的本地证 书” 。
10(可选的)输入 FortiGate 设备的本地 ID。
只有当 FortiGate 设备作为客户并用它的本地 ID 对 VPN 远端认证它自己的时候,才需 要输入本地 ID。(如果您没有添加本地 ID,FortiGate 设备将发送它的 IP 地址。)
只能在预置密钥和进取模式下配置本地 ID,不要在证书或者主模式下配置本地 ID。
| 配置高级选项 |
|
|
1 | 单击高级选项。 |
|
|
2 | ( 可选的)选择对等选项。 |
| |
| 选择对等选项可以使用远程 VPN 端点在第一阶段发送的 ID 对它们进行认证。 | ||
| 接受任何端点 ID |
| 选择接受任何端点 ID ( 从而不认证远程 VPN 端点的 ID)。 |
| 接受这个端点 ID |
| 选择使用一个共享的用户名 (ID)和密码 (预置密钥)认证 |
|
|
| 指定的 VPN 端点或一组 VPN 端点。同时还需要输入端点 ID。 |
| 接受拨号组的端点 ID | 选择使用唯一的用户名 (ID)和密码 (预置密钥)认证每一 | |
|
|
| 个远程 VPN 端点。还需要选择一个拨号组 (用户组)。 |
|
|
| 在配置这一选项之前先配置这个用户组。 |
3 | (可选的)配置 XAuth。 |
| |
| XAuth (IKE 扩展认证 ) 在用户层认证 VPN 双方。如果 FortiGate 设备 (本地 VPN 端 | ||
| 点)被配置为一个 XAuth 服务器,它将通过在用户组中查询来验证远程 VPN 端点。包 | ||
| 含在用户组中的这个用户可以是 FortiGate 设备中配置的本地用户,或者远程的 LDAP | ||
| 或 RADIUS 服务器中的用户。如果 FortiGate 设备被配置为 XAuth 客户端,当它被查询 | ||
| 的时候将提供一个用户名和密码。 | ||
|
|
| XAuth: 作为客户端 |
| 名称 | 输入本地 VPN 端点用于对远程 VPN 端点认证它自己的用户名。 | |
| 密码 | 输入本地 VPN 端点用于对远程 VPN 端点认证它自己的密码。 | |
XAuth: 作为服务器
184 | 美国飞塔有限公司 |
