IPSec VPN 集中器 | IPSec VPN |
|
|
如果 VPN 端点是一个辐条,它需要一个通道以将它连接到集线器 (但是不连接到 其他辐条)。它还需要控制它到其他辐条的加密连接策略和到其他网络,例如互联网的 非加密连接的策略。
·VPN 集中器 ( 集线器 ) 一般配置步骤 ·添加一个 VPN 集中器
·VPN 辐条一般配置步骤
VPN 集中器 ( 集线器 ) 一般配置步骤
| 作为集线器的中心 FortiGate 设备需要以下配置: |
| ·每个辐条一个通道 ( 自动 IKE 第一阶段和第二阶段或手工密钥配置)。 |
| ·每个辐条一个目的地址。 |
| ·一个集中器配置。 |
| ·每个辐条一个加密策略。 |
| 按照如下步骤创建一个 VPN 集中器配置: |
1 | 为每个辐条配置一个通道。选择手工通道或者 IKE 通道。 |
| ·一个手工密钥通道包括通道名、通道另一端的辐条 (客户端或网关)的 IP 地址,以 |
| 及这个通道所用的加密和认证算法。 |
| 请见 第 180 页 “ 手工密钥 IPSec VPN” 。 |
| ·一个自动 IKE 通道,包括第一阶段和第二阶段参数。第一阶段参数包括辐条 (客户 |
| 或网关)的名称,辐条如何接收它的 IP 地址 (静态)的指示,加密和认证算法, |
| 以及认证方法,可以是预置密钥或着 PKI 证书。第二阶段参数包括通道名,在第一 |
| 阶段中选择的辐条 (客户或网关)的配置,加密和认证算法,以及一些安全参数。 |
| 请见 第 182 页 “ 自动 IKE IPSec VPN” 。 |
2 | 为每个辐条添加一个目的地址。这个目的地址是辐条 (可以是互联网上的客户或者一 |
| 个网关后边的网络)的地址。 |
| 请见 第 193 页 “ 添加源地址” 。 |
3 添加集中器配置。这一步将 FortiGate 设备上的通道彼此分组。这些通道将辐条连接 到集线器上。这些通道是作为自动 IKE 第二阶段配置或手工密钥配置的一部分添加的。
请见 第 197 页 “ 添加一个 VPN 集中器” 。
注意:为所有辐条添加完通道后再为中心 FortiGate 设备 (集线器)添加集中器配置。
4 为每个辐条添加一个加密策略。加密策略控制着通过集线器的通讯的方向,允许集线 器和辐条之间的向内和向外的 VN 连接。每个辐条的加密策略必须包括这个辐条的通道 名。源地址必须是内部 _ 全部。在加密策略中使用以下配置:
196 | 美国飞塔有限公司 |
