Cisco Cisco Firepower Management Center 2000 User Guide
10-6
FireSIGHT 系统用户指南
第 10 章 使用网关 VPN
管理 VPN 部署
Pre-shared Key
定义一个用于身份验证的唯一预共享密钥。系统会将该密钥用于部署中的所有 VPN,除非为
每个终端对指定一个预共享密钥。
每个终端对指定一个预共享密钥。
设备
可选择一台受管设备,包括设备堆栈或集群,作为部署的终端。对于思科受管设备(不受正在
使用的防御中心管理),请选择
使用的防御中心管理),请选择
Other
,然后为此终端指定一个 IP 地址。
Virtual Router
如已选定一台受管设备作为终端,请选择一个当前应用于所选设备的虚拟路由器。不能为多
个终端选择相同虚拟路由器。
个终端选择相同虚拟路由器。
接口
如已选定一台受管设备作为终端,请选择一个已分配给所选虚拟路由器的路由接口。
IP地址
–
如已选定一台受管设备作为终端,请选择一个已分配给所选路由接口的 IP 地址。
–
如果此受管设备为设备集群,则只能从 SFRP IP 地址列表中选择。
–
如已选定一台不受防御中心管理的受管设备,请为终端指定一个 IP 地址。
Protected Networks
在部署中指定已加密的网络。为每个网络输入带 CIDR 块的子网。 IKE 版本 1 仅支持一个受
保护的网络。
保护的网络。
请注意,VPN 终端不能有相同的 IP 地址,并且 VPN 终端对中的受保护网络不能重叠。如果一
个终端的受保护网络列表包含一个或多个 IPv4 或 IPv6 条目,另一个终端的受保护网络必须至
少包含一个相同类型的条目(即 IPv4 或 IPv6)。否则,另一个终端的 IP 地址必须为相同类型,
且不得与受保护网络中的条目重叠。(对于 IPv4,使用 /32 CIDR 地址块;对于 IPv6 使用 /128
CIDR 地址块)。如果以上两种检查均失败,则此终端对无效。
个终端的受保护网络列表包含一个或多个 IPv4 或 IPv6 条目,另一个终端的受保护网络必须至
少包含一个相同类型的条目(即 IPv4 或 IPv6)。否则,另一个终端的 IP 地址必须为相同类型,
且不得与受保护网络中的条目重叠。(对于 IPv4,使用 /32 CIDR 地址块;对于 IPv6 使用 /128
CIDR 地址块)。如果以上两种检查均失败,则此终端对无效。
Internal IP
如果终端驻留在带网络地址转换的防火墙后面,请选择此复选框。
Public IP
如已选择
Internal IP
,请指定防火墙的公用 IP 地址。如果终端为响应方,必须指定此值。
Public IKE Port
如已选择
Internal IP
,请为防火墙上要端口转发至到内部终端的 UDP 端口指定一个介于 1 与
65535 之间的数值。如果终端为响应方,且防火墙上正在转发的端口不是 500 或 4500,必须
指定此值。
指定此值。
Use Deployment Key
选择此复选框,可使用为部署定义的预共享密钥。清除此复选框,可为此终端对指定用于
VPN 身份验证的预共享密钥。
VPN 身份验证的预共享密钥。
Pre-shared Key
如已清除
Use Deployment Key
复选框,请在此字段中指定一个预共享密钥。