Fortinet 1000 User Manual
198
美国飞塔有限公司
IPSec VPN 集中器
IPSec VPN
VPN 辐条一般配置步骤
一个实现辐条功能的远程 VPN 端点需要以下配置:
·一个到集线器的通道 (自动 IKE 第一阶段和第二阶段配置或手工密钥配置)。
·本地 VPN 辐条的源地址。
·每个远程 VPN 辐条的目的地址。
·每个远程 VPN 辐条一个独立的向外加密策略。这些策略允许本地 VPN 辐条初始化加密
连接。
·一个单独的向内加密策略。这个策略允许本地 VPN 辐条接受加密连接。
按以下步骤创建 VPN 辐条配置:
1
在辐条和集线器之间配置通道。
选择手工密钥通道或者自动 IKE 通道。
选择手工密钥通道或者自动 IKE 通道。
·要添加手工密钥通道,请见
。
·要添加一个自动 IKE 通道,请见
。
2
添加源地址。需要一个本地 VPN 辐条的源地址。
请见
请见
。
3
为每个远程 VPN 辐条输入一个目的地址。目的地址是辐条 (互联网上的客户端或者网
关后边的网络)的地址。
请见
关后边的网络)的地址。
请见
。
4
为每个远程 VPN 辐条设置一个独立的向外加密策略。这个策略控制这本地 VPN 辐条初
始化的加连接。
加密策略必须包括在步骤
始化的加连接。
加密策略必须包括在步骤
中添加的适当的源地址和目的地址和通道。使用如下配置:
请见
。
5
添加一个向内加密策略。这个策略控制这由远程 VPN 辐条初始化的加密连接。
集线器的加密策略必须包含在步骤
集线器的加密策略必须包含在步骤
中添加的通道的源地址和目的地址。使用如下配
置:
源
本地 VPN 辐条的地址。
目的
远程 VPN 辐条的地址。
动作
加密
VPN 通道
在步骤
中添加的 VPN 通道名。 ( 对所有加密策略使用相同的通道名 )
允许向内
不启用。
允许向外
选择允许向外。
向内 NAT
如果需要选择向内 NAT。
向外 NAT
如果需要选择向外的 NAT。
源
本地 VPN 辐条的地址。
目的
外部 _ 全部
动作
加密
VPN 通道
在步骤
中添加的 VPN 通道名。 ( 对所有加密策略使用相同的通道名 )
允许向内
选择允许向内。
允许向外
不启用。