Fortinet 1000 User Manual
184
美国飞塔有限公司
自动 IKE IPSec VPN
IPSec VPN
8
输入密钥寿命。
指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单
位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中
的密钥有效期可以从 120 秒到 172800 秒。
指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单
位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中
的密钥有效期可以从 120 秒到 172800 秒。
9
认证方式可以设置为预置密钥或者 RSA 签名。
·如果您选择了预置密钥,输入一个由 VPN 双方共享的密钥。这个密钥可以包含任何字
符但是长度不能少于 6 个字符。只有网络管理员有权知道这个密钥。要防御密码猜
测攻击,一个好的预置密钥应当包含至少 16 个随机选择的字符。
测攻击,一个好的预置密钥应当包含至少 16 个随机选择的字符。
·如果您选择了 RSA 签名,选择一个由认证中心 (CA)进行数字签名的本地认证。要
为 FortiGate 设备添加一个本地认证,请见
。
10
(可选的)输入 FortiGate 设备的本地 ID。
只有当 FortiGate 设备作为客户并用它的本地 ID 对 VPN 远端认证它自己的时候,才需
要输入本地 ID。(如果您没有添加本地 ID,FortiGate 设备将发送它的 IP 地址。)
只能在预置密钥和进取模式下配置本地 ID,不要在证书或者主模式下配置本地 ID。
要输入本地 ID。(如果您没有添加本地 ID,FortiGate 设备将发送它的 IP 地址。)
只能在预置密钥和进取模式下配置本地 ID,不要在证书或者主模式下配置本地 ID。
配置高级选项
1
单击高级选项。
2
( 可选的)选择对等选项。
选择对等选项可以使用远程 VPN 端点在第一阶段发送的 ID 对它们进行认证。
选择对等选项可以使用远程 VPN 端点在第一阶段发送的 ID 对它们进行认证。
3
(可选的)配置 XAuth。
XAuth (IKE 扩展认证 ) 在用户层认证 VPN 双方。如果 FortiGate 设备 (本地 VPN 端
点)被配置为一个 XAuth 服务器,它将通过在用户组中查询来验证远程 VPN 端点。包
含在用户组中的这个用户可以是 FortiGate 设备中配置的本地用户,或者远程的 LDAP
或 RADIUS 服务器中的用户。如果 FortiGate 设备被配置为 XAuth 客户端,当它被查询
的时候将提供一个用户名和密码。
点)被配置为一个 XAuth 服务器,它将通过在用户组中查询来验证远程 VPN 端点。包
含在用户组中的这个用户可以是 FortiGate 设备中配置的本地用户,或者远程的 LDAP
或 RADIUS 服务器中的用户。如果 FortiGate 设备被配置为 XAuth 客户端,当它被查询
的时候将提供一个用户名和密码。
接受任何端点 ID
选择接受任何端点 ID ( 从而不认证远程 VPN 端点的 ID)。
接受这个端点 ID
选择使用一个共享的用户名 (ID)和密码 (预置密钥)认证
指定的 VPN 端点或一组 VPN 端点。同时还需要输入端点 ID。
指定的 VPN 端点或一组 VPN 端点。同时还需要输入端点 ID。
接受拨号组的端点 ID
选择使用唯一的用户名 (ID)和密码 (预置密钥)认证每一
个远程 VPN 端点。还需要选择一个拨号组 (用户组)。
在配置这一选项之前先配置这个用户组。
个远程 VPN 端点。还需要选择一个拨号组 (用户组)。
在配置这一选项之前先配置这个用户组。
XAuth: 作为客户端
名称
输入本地 VPN 端点用于对远程 VPN 端点认证它自己的用户名。
密码
输入本地 VPN 端点用于对远程 VPN 端点认证它自己的密码。
XAuth: 作为服务器