IPSec VPN 手工密钥 IPSec VPN
FortiGate-500 安装和配置指南
183本地和远端的加密和认证密钥必须匹配;并且彼此的SPI 值也必须互为镜像。当您
输入了这些值之后,无须再协商认证和加密算法即可发起VPN 通道。只要您正确、完
整地输入了所有的值,双方之间即可建立通道。实质上通道一直存在���双方之间。结
果是当被一个策略所匹配的通讯请求通道时,它可以立刻被认证和加密。
·手工密钥 VPN 的一般配置步骤
·添加一个手工密钥 VPN 通道
手工密钥 VPN 的一般配置步骤一个手工密钥 VPN 的配置由手工密钥通道、通道两端的源和目的地址、以及用于控
制对这个VPN 通道访问的加密策略组成。
按以下步骤创建手工密钥 VPN配置 :
1添加一个手工密钥 VPN 通道。请见 第 183 页 “ 添加一个手工密钥 VPN 通道” 。
2配置一个包含了这个通道、通道两端的源地址和目的地址的加密策略。请见 第 194
页 “ 配置加密策略” 。
添加一个手工密钥 VPN 通道配置手工密钥通道可以在 FortiGate 和同样使用手工密钥的远程IPSec VPN 客户或
网关之间建立 IPSec VPN 通道。
按照以下步骤添加一个手工密钥 VPN 通道:
1进入 VPN > IPSec > 手工密钥。
2单击新建以添加一个新的手工密钥 VPN 通道。
3输入VPN 通道名称。
这个名称可以含有数字(0-9), 大写和小写字母(A-Z,a-z),以及特殊字符-和
_。不能使用其它特殊字符或者空格符。
4输入本地 SPI。
本地安全参数索引是一个不多于八位的十六进制数 (数字0到9, 字母a到f)。 这个
十六进制数必须添加到通道另一端的远程SPI 中。本地SPI 的取值范围是 bb8到
FFFFFFF。
5输入远程安全参数索引。
远程安全参数索引是一个不多于八位的一个十六进制数 (数字0到9, 字母a到f)。
这个十六进制数必须添加到通道另一端的本地SPI 中。远程SPI 的取值范围是 bb8 到
FFFFFFF。
6输入远程网关。
这是通道另一端的FortiGate 或者 IPSec 网关的外部 IP 地址。
7从列表中选择一个算法。
在通道的两端选择相同的算法。
8输入加密密钥。
每两个字符的组合表示十六进制格式中的一个字节。根据您所指定的加密算法,您可
能需要输入十六进制的加密密钥的多个部分。在通道的两端需要使用相同的加密密钥。
DES 输入一个由 16 个字符(8 字节)的十六进制数 (0-9, A-F)。
3DES 输入一个 48 个字符 (24 字节)的十六进制数(0-9, A-F)。将这个数分成三个16
个字符的部分。