Fortinet 500 4 NAT , 5 VPN DPD VPN DPD, 6

FortiGate-500 安装和配置指南

187

4（可选的） NAT 跨越。5（可选的）配置端点失效检测。使用这些设置可以监视 VPN 双方的连接状态。DPD 允许清除已经失效的连接并建立新的VPN 通道。不是所有的销售商都支持 DPD。6单击确定以保存第一阶段参数。

加密方法选择XAuth 客户端、FortiGate 设备和认证服务器之间的加密方法。

PAP ——密码认证协议。

CHAP ——挑战 -握手认证协议。

混合 ——选择混合可以在 XAuth 客户端和FortiGate 设备之间使用 PAP，

在FortiGate 设备和认证服务器之间使用 CHAP。

只要可能就能使用 CHAP。如果认证服务器不支持 CHAP 则使用 PAP。（所有

的LDAP 和部分微软RADIUS 使用 PAP）。如果认证服务器支持 CHAP 但是

XAuth 客户端不支持 CHAP，就使用混合（Fortinet 远程VPN 客户端使用混

合）。

用户组选择XAuth 认证的一组用户。这个用户组中的单独的一个用户可以由本地认

证或者由一个或多个 LDAP 或RADIUS 服务器认证。

在用户组被选中之前它必须被添加到FortiGate 的配置中。

启用选择启用，如果您希望 IPSec VPN 的数据流通过一个执行NAT 的网关。如果

没有检测到 NAT 设备，启用 NAT 穿越功能不会有任何效果。在网关的两端必

须使用相同的NAT 穿越设置。

激活频率如果启用了NAT 穿越，则可以修改保持活动的时间间隔，以秒为单位。这个

时间间隔指定了空UDP 包发送的频率，这个UDP 包穿过NAT 设备，以保证

NAT 映象不会改变，直到第一阶段和第二阶段的密钥过期。保持活动的时间

间隔可以从 0一直到900 秒。

启用选择启用可以启用本地和远程端点之间的DPD。

短时空闲设置以秒为单位的时间。这是本地VPN 端点需要考虑连接是否空闲之前所经

历的时间。在这段时间之后，当本地端点要向远程VPN 端点发送通讯时，它

必须同时发送一个 DPD 探测，以判断连接的状态。要控制 FortiGate 设备用

来使用 DPD 探测检测失效端点的时间的长度，配置重试累计和重试间隔。

重试累计设置本地VPN 端点认为通道已经失效并断开安全联结之前使用 DPD 探测的重

复次数。根据您的网络的具体情况，将重试累计设置得足够高可以避免网络

拥塞或其他传输问题带来的影响。

重试间隔设置以秒为单位的时间，它是本地VPN 端点设备在两次DPD 探测之间等待的

时间。

长时空闲设置以秒为单位的时间。这是本地VPN 端点在探测连接的状态之前需要等待

的时间。如果在本地端点和远程端点之间没有通讯，在经历了这段时间之后

本地端点将发送 DPD 探测以判断通道的状态。