186
美国飞塔有限公司
自动 IKE IPSec VPN IPSec VPN
8 输入密钥寿命。
指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单
位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中
的密钥有效期可以从 120 秒到 172800 秒。
9 认证方式可以设置为预置密钥或者 RSA 签名。
·如果您选择了预置密钥,输入一个由 VPN 双方共享的密钥。这个密钥可以包含任何字
符但是长度不能少于 6 个字符。只有网络管理员有权知道这个密钥。要防御密码猜
测攻击,一个好的预置密钥应当包含至少 16 个随机选择的字符。
·如果您选择了 RSA 签名,选择一个由认证中心 (CA)进行数字签名的本地认证。要
为 FortiGate 设备添加一个本地认证,请见 第 190 页 “ 获得签名的本地证
书” 。
10 (可选的)输入 FortiGate 设备的本地 ID。
只有当 FortiGate 设备作为客户并用它的本地 ID 对 VPN 远端认证它自己的时候,才需
要输入本地 ID。(如果您没有添加本地 ID,FortiGate 设备将发送它的 IP 地址。)
只能在预置密钥和进取模式下配置本地 ID,不要在证书或者主模式下配置本地 ID。
配置高级选项
1 单击高级选项。
2 ( 可选的)选择对等选项。
选择对等选项可以使用远程 VPN 端点在第一阶段发送的 ID 对它们进行认证。
3 (可选的)配置 XAuth。
XAuth (IKE 扩展认证 ) 在用户层认证 VPN 双方。如果 FortiGate 设备 (本地 VPN 端
点)被配置为一个 XAuth 服务器,它将通过在用户组中 查询来验证远程 VPN 端点。包
含在用户组中的这个用户可以是 FortiGate 设备中配置的本地用户,或者远程的 LDAP
或 RADIUS 服务器中的用户。如果 FortiGate 设备被配置为 XAuth 客户端,当它被查询
的时候将提供一个用户名和密码。
接受任何端点 ID 选择接受任何端点 ID ( 从而不认证远程 VPN 端点的 ID)。
接受这个端点 ID 选择使用一个共享的用户名 (ID)和密码 (预置密钥)认证
指定的 VPN 端点或一组 VPN 端点。同时还需要输入端点 ID。
接受拨号组的端点 ID 选择使用唯一的用户名 (ID)和密码 (预置密钥)认证每一
个远程 VPN 端点。还需要选择一个拨号组 (用户组)。
在配置这一选项之前先配置这个用户组。
XAuth: 作为客户端
名称 输入本地 VPN 端点用于对远程 VPN 端点认证它自己的用户名。
密码 输入本地 VPN 端点用于对远程 VPN 端点认证它自己的密码。
XAuth: 作为服务器