198
美国飞塔有限公司
IPSec VPN 集中器 IPSec VPN
如果 VPN 端点是一个辐条,它需要一个通道以将它连接到集线器 (但是不连接到
其他辐条)。 它 还需要控制它到其他辐条的加密连接策略和到其他网络,例如互联网的
非加密连接的策略。
·VPN 集中器 ( 集线器 ) 一般配置步骤
·添加一个 VPN 集中器
·VPN 辐条一般配置步骤
VPN 集中器 ( 集线器 ) 一般配置步骤
作为集线器的中心 FortiGate 设备需要以下配置:
·每个辐条一个通道 ( 自动 IKE 第一阶段和第二阶段或手工密钥配置)。
·每个辐条一个目的地址。
·一个集中器配置。
·每个辐条一个加密策略。
按照如下步骤创建一个 VPN 集中器配置:
1 为每个辐条配置一个通道。选择手工通道或者 IKE 通道。
·一个手工密钥通道包括通道名、通道另一端的辐条 (客户端或网关)的 IP 地址,以
及这个通道所用的加密和认证算法。
请见 第 182 页 “ 手工密钥 IPSec VPN” 。
·一个自动 IKE 通道,包括第一阶段和第二阶段参数。第一阶段参数包括辐条 (客户
或网关)的名称,辐条如何接收它的 IP 地址 (静态)的指示,加密和认证算法,
以及认证方法,可以是预置密钥或着 PKI 证书。第二阶段参数包括通道名,在第一
阶段中选择的辐条 (客户或网关)的配置,加密和认证算法,以及一些安全参数。
请见 第 184 页 “ 自动 IKE IPSec VPN” 。
2 为每个辐条添加一个目的地址。这个目的地址是辐条 (可以是互联网上的客户或者 一
个网关后边的网络)的地址。
请见 第 195 页 “ 添加源地址” 。
3 添加集中器配置。这一步将 FortiGate 设备上的通道彼此分组。这些通道将辐条连接
到集线器上。这些通道是作为自动 IKE 第二阶段配置或手工密钥配置的一部分添加的。
请见 第 199 页 “ 添加一个 VPN 集中器” 。
4 为每个辐条添加一个加密策略。加密策略控制着通过集线器的通讯的方向,允许集线
器和辐条之间的向内和向外的 VN 连接。每个辐条的加密策略必须包括这个辐条的通道
名。源地址必须是内部 _ 全部。在加密策略中使用以下配置:
注意:为所有辐条添加完通道后再为中心 FortiGate 设备 (集线器)添加集中器配置。