IPSec VPN的配置
主模式的IPSec VPN隧道的配置
上图中,我们需要在两个设备之间建立基于IPsec的VPN隧道,让远程客户可以访问到公司内部的服务器。IPsecVPN根据网络情况不同,分为Main Mode(主模式)和Aggressive Mode(野蛮模式)两种,主模式主要对应于设备两端都有固定的公网IP地址,通过互联网可以直接进行访问和加密协商的情况;野蛮模式针对只有一端有固定公网IP地址,另外一端是可变的IP地址的情况,因为无法直接确定地址,所以要通过ID来进行身份验证,同时必须由非固定IP那端发起连接请求,才可以顺利建立IPsec隧道 下面是Main Mode(主模式)的配置步骤: 一、NSA3500配置
1. 点击配置界面中的VPN菜单,选Setting,出现如下的界面
注意Enable VPN处于选择状态
2. 系统本身已经存在两个VPN策略,分别是针对VPNclient用户和Wlan无线用户的,
我们需要再新建一条静态的VPN策略所以点击Add(新建)按钮 3. 出现下图的界面
我们现在配置的是MainMode(主模式的VPN),所以在IPsec Primary Gateway Name or Address栏中输入对端的IP地址,IPsec Secondary Gateway Name or Address(第二个VPN网关)是当你的总部设备有两个不同的公网出口,你可以在第二个出口处使用的备份网关,当第一个网关无法连接时,系统自动查找第二个线路进行连接尝试。这个适用于公司总部有
网通和电信两条链路的情况。 Shared Secret(共享密钥),是两台防火墙设备在进行IPsec的IKE协商时使用的密码,这个是在阶段一进行初始化时使用的(关于IPsec的具体过程,请参考相关文档)。两台设备的共享密钥必须一致才能协商成功。
Local IKE ID和Peer IKE ID(本地ID和对端ID),是在野蛮模式下双方进行配置IPSec身份验证的凭证,因为我们现在使用主模式,它直接使用WAN口的IP地址作为双方的ID进行验证,所以这里不需要配置。
4. 接下来进入第二个标签页
这个页面主要是输入关于两端网络的地址信息,我们需要把作VPN的网段地址输进去,这个也是IPsec VPN参数的一部分,如果输入错误,IPsec隧道也无法建立起来,我们先输入本地网络地址,从下拉框中选新建地址对象(create new address object)(注:也可以直接在Network->Address Objects中建立)
在接下来弹出的对话框中输入本地网段地址
点击OK完成本地地址的输入,然后进行对端地址输入
相关推荐:
loading