IPSec VPN 手工密钥 IPSec VPN
FortiGate-500 安装和配置指南
183
本地和远端的加密和认证密钥必须匹配;并且彼此的 SPI 值也必须互为镜像。当您
输入了这些值之后,无须再协商认证和加密算法即可发起 VPN 通道。只要您正确、完
整地输入了所有的值,双方之间即可建立通道。实质上通道一直存在于双方之间。结
果是当被一个策略所匹配的通讯请求通道时,它可以立刻被认证和加密。
·手工密钥 VPN 的一般配置步骤
·添加一个手工密钥 VPN 通道
手工密钥 VPN 的一般配置步骤
一个手工密钥 VPN 的配置由手工密钥通道、通道两端的源和目的地址、以及用于控
制对这个 VPN 通道访问的加密策略组成。
按以下步骤创建手工密钥 VPN 配置:
1 添加一个手工密钥 VPN 通道。请见 第 183 页 “ 添加一个手工密钥 VPN 通道” 。
2 配置一个包含了这个通道、通道两端的源地址和目的地址的加密策略。请见 第 194
页 “ 配置加密策略” 。
添加一个手工密钥 VPN 通道
配置手工密钥通道可以在 FortiGate 和同样使用手工密钥的远程 IPSec VPN 客户或
网关之间建立 IPSec VPN 通道。
按照以下步骤添加一个手工密钥 VPN 通道:
1 进入 VPN > IPSec > 手工密钥。
2 单击新建以添加一个新的手工密钥 VPN 通道。
3 输入 VPN 通道名称。
这个名称可以含有数字(0-9), 大写和小写字母 (A-Z,a-z),以及特殊字符 - 和
_。不能使用其它特殊字符或者空格符。
4 输入本地 SPI。
本地安全参数索引是一个不多于八位的十六进制数 (数字 0 到 9, 字母 a 到 f)。 这个
十六进制数必须添加到通道另一端的远程 SPI 中。本地 SPI 的取值范围是 bb8 到
FFFFFFF。
5 输入远程安全参数索引。
远程安全参数索引是一个不多于八位的一个十六进制数 (数字 0 到 9, 字母 a 到 f)。
这个十六进制数必须添加到通道另一端的本地 SPI 中。远程 SPI 的取值范围是 bb8 到
FFFFFFF。
6 输入远程网关。
这是通道另一端的 FortiGate 或者 IPSec 网关的外部 IP 地址。
7 从列表中选择一个算法。
在通道的两端选择相同的算法。
8 输入加密密钥。
每两个字符的组合表示十六进制格式中的一个字节。根据您所指定的加密算法,您可
能需要输入十六进制的加密密钥的多个部分。在通道的两端需要使用相同的加密密钥。
DES 输入一个由 16 个字符 (8 字节 ) 的十六进制数 (0-9, A-F)。
3DES 输入一个 48 个字符 (24 字节 ) 的十六进制数 (0
-
9, A
-
F)。将这个数分成三个 16
个字符的部分。