196
美国飞塔有限公司
IPSec VPN 集中器 IPSec VPN
VPN 辐条一般配置步骤
一个实现辐条功能的远程 VPN 端点需要以下配置:
·一个到集线器的通道 (自动 IKE 第一阶段和第二阶段配置或手工密钥配置)。
·本地 VPN 辐条的源地址。
·每个远程 VPN 辐条的目的地址。
·每个远程 VPN 辐条一个独立的向外加密策略。这些策略允许本地 VPN 辐条初始化加密
连接。
·一个单独的向内加密策略。这个策略允许本地 VPN 辐条接受加密连接。
按以下步骤创建 VPN 辐条配置:
1 在辐条和集线器之间配置通道。
选择手工密钥通道或者自动 IKE 通道。
·要添加手工密钥通道,请见 第 178 页 “ 手工密钥 IPSec VPN” 。
·要添加一个自动 IKE 通道,请见 第 180 页 “ 自动 IKE IPSec VPN” 。
2 添加源地址。需要一个本地 VPN 辐条的源地址。
请见 第 191 页 “ 添加源地址” 。
3 为每个远程 VPN 辐条输入一个目的地址。目的地址是辐条 (互联网上的客户端或者网
关后边的网络)的地址。
请见 第 191 页 “ 添加目的地址” 。
4 为每个远程 VPN 辐条设置一个独立的向外加密策略。这个策略控制这本地 VPN 辐条初
始化的加连接。
加密策略必须包括在步骤 1 中添加的适当的源地址和目的地址和通道。使用如下配置:
请见 第 192 页 “ 添加一个加密策略” 。
5 添加一个向内加密策略。这个策略控制这由远程 VPN 辐条初始化的加密连接。
集线器的加密策略必须包含在步骤 1 中添加的通道的源地址和目的地址。使用如下配
置:
源 本地 VPN 辐条的地址。
目的 远程 VPN 辐条的地址。
动作 加密
VPN 通道 在步骤 1 中添加的 VPN 通道名。 ( 对所有加密策略使用相同的通道名 )
允许向内 不启用。
允许向外 选择允许向外。
向内 NAT 如果需要选择向内 NAT。
向外 NAT 如果需要选择向外的 NAT。
源 本地 VPN 辐条的地址。
目的 外部 _ 全部
动作 加密
VPN 通道 在步骤 1 中添加的 VPN 通道名。 ( 对所有加密策略使用相同的通道名 )
允许向内 选择允许向内。
允许向外 不启用。