186
美国飞塔有限公司
自动 IKE IPSec VPN IPSec VPN
8输入密钥寿命。
指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单
位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中
的密钥有效期可以从 120 秒到172800 秒。
9认证方式可以设置为预置密钥或者 RSA 签名。
·如果您选择了预置密钥,输入一个由 VPN 双方共享的密钥。这个密钥可以包含任何字
符但是长度不能少于6个字符。只有网络管理员有权知道这个密钥。要防御密码猜
测攻击,一个好的预置密钥应当包含至少 16 个随机选择的字符。
·如果您选择了 RSA 签名,选择一个由认证中心(CA)进行数字签名的本地认证。要
为FortiGate 设备添加一个本地认证,请见 第 190 页 “ 获得签名的本地证
书” 。
10 (可选的)输入FortiGate 设备的本地ID。
只有当FortiGate 设备作为客户并用它的本地ID 对VPN 远端认证它自己的时候,才需
要输入本地ID。(如果您没有添加本地ID,FortiGate 设备将发送它的 IP 地址。)
只能在预置密钥和进取模式下配置本地ID,不要在证书或者主模式下配置本地ID。
配置高级选项
1单击高级选项。
2(可选的)选择对等选项。
选择对等选项可以使用远程VPN 端点在第一阶段发送的 ID 对它们进行认证。
3(可选的)配置 XAuth。
XAuth (IKE 扩展认证 ) 在用户层认证VPN 双方。如果 FortiGate 设备 (本地VPN 端
点)被配置为一个 XAuth 服务器,它将通过在用户组中查询来验证远程VPN端点。 包
含在用户组中的这个用户可以是FortiGate 设备中配置的本地用户,或者远程的 LDAP
或RADIUS 服务器中的用户。如果 FortiGate 设备被配置为XAuth客户端,当它被查询
的时候将提供一个用户名和密码。
接受任何端点ID 选择接受任何端点ID ( 从而不认证远程VPN端点的 ID)。
接受这个端点ID 选择使用一个共享的用户名(ID)和密码 (预置密钥)认证
指定的 VPN 端点或一组VPN 端点。同时还需要输入端点ID。
接受拨号组的端点ID 选择使用唯一的用户名(ID)和密码 (预置密钥)认证每一
个远程VPN 端点。还需要选择一个拨号组(用户组)。
在配置这一选项之前先配置这个用户组。
XAuth: 作为客户端
名称输入本地VPN 端点用于对远程VPN 端点认证它自己的用户名。
密码 输入本地VPN 端点用于对远程VPN 端点认证它自己的密码。
XAuth: 作为服务器