IPSec VPN 自动 IKE IPSec VPN
FortiGate-500 安装和配置指南
185
为自动 IKE VPN 添加第一阶段配置
当您添加第一阶段配置的时候,您需要定义 FortiGate 设备和 VPN 远端 (网关或
客户)用于彼此认证以建立 IPSec VPN 通道的有关条件。
第一阶段配置和第二阶段配置彼此相关。在第一阶段中 VPN 的两端是经过认证的,
在第二阶段则建立起了通道。您可以选择使用相同的第一阶段参数建立多个通道。换
句话说,同一个远程 VPN 端点 (网关或客户)可以有多个连接到本地 VPN 端点
(FortiGate 设备)的多个通道 。
当 FortiGate 设备收到一个 IPSec VPN 连接请求时,它首先根据第一阶段参数认证
VPN 端点。然后,它根据请求的源地址和目的地址发起一个 IPSec VPN 通道和应用加密
策略。
按以下步骤添加第一阶段配置:
1 进入 VPN > IPSEC > 第一阶段。
2 单击新建以添加新的第一阶段配置。
3 输入远程 VPN 端点的网关名称。
远端 VPN 端点可以是另一个网络的 网关或者互联网上的一个独立的客户。
这个名称可以含有数字(0-9), 大写和小写字母 (A-Z,a-z),以及特殊字符 - 和
_。不能使用其它特殊字符或者空格符。
4 选择远程网关地址类型。
·如果远程 VPN 端点有静态 IP 地址,选择静态 IP 地址。
·如果远程 VPN 端点使用动态 IP 地址 (DHCP 或 PPPoE),或者远程 VPN 端点有一个无
须端点识别处理的静态地址,选择拨号用户。
根据您所选择的远程网关地址类型,可能还要填写其他栏目。
5 选择进取模式或主模式 (ID 保护)。
当使用进取模式时,VPN 双方使用明文交换识别信息。当使用主模式时,识别信息是隐
藏的。
VPN 双方必须使用同一模式。
6 配置 P1 提议。
最多可以为第一阶段的提议选择三个加密算法和认证算法。
VPN 通道的两端必须使用相同的 P1 阶段提议设置。
7 选择 DH 组。
选择一个或多个 Diffie-Hellman 组用于 IPSec VPN 连接的第一阶段中的提议。
一般来说,VPN 双方应当使用相同的 DH 组设置。
远程网关:静态 IP 地址
IP 地址 如果您选择了静态 IP 地址,将出现地址栏。输入连接到 FortiGate 设备的
远程 IPSec VPN 网关或者客户的 IP 地址。这个内容是必须输入的。
远程网关:拨号用户
端点选项 如果您选择了拨号用户,在高级选项中将出现端点选项。可以使用端点选项
在第一阶段协商中认证远程 VPN 的 ID。详细信息请见步骤 2。