更新时间:2023-06-05
第一阶段用于设置需要与深信服设备建立标准IPSec连接的对端VPN设备的相关信息。
点击<新增>,显示设备列表设置对话框,需要设置设备名称和描述.
线路出口:选择通过哪条出口线路与对端进行标准IPSEC VPN 互联。
设备地址类型:包括固定IP、动态IP以及动态域名三种。
• 选择“对端是固定IP”,则需要设置对端的固定IP地址以及预共享密钥;
• 选择“对端是动态域名”,则需要设置动态域名以及预共享密钥;
• 选择“对端是动态IP”,则仅需设置预共享密钥,选择该选项后仅能使用野蛮模式对接;
作为备份设备:同一个设备支持备份隧道,如果有建立主备隧道,主隧道断开,数据包才会通过备份隧道发往对端。
如果配置时,误勾选了启动主动连接,设备会弹出提示框。
点击<高级>,则弹出高级设置对话框,界面如下。
ISAKMP存活时间:用来设置第一阶段策略的生存期,只支持按秒计时。
重试次数:用来设置第一阶段协商时的重试次数。
支持模式:用来选择第一阶段协商所使用的模式,包括主模式和野蛮模式。
D-H群:用来设置协商双方的Differ-Hellman群,包括MODP768群(1)、MODP1024群(2)、MODP1536群(5)、MODP2048群(14)、MODP3072群(15)、MODP4096群(16)、MODP6144群(17)、MODP8192群(18)。
勾选<启用DPD>,启用死亡对等体检测功能,用于帮助VPN设备检测存在于隧道另一端的设备故障。
检测间隔:用于设置检测对端状态的时间间隔,设置范围5s-60s。
超时次数:用于设置检测到对端状态超时次数,设置范围1-6次。当达到超时次数,设备认为对端设备故障。
ISAKMP算法列表。
认证算法:用来选择第一阶段的认证算法,包括MD5、SHA-1、SHA2-256、SHA2-384、SHA2-512。
加密算法: 用来选择第一阶段的加密算法,包括DES、3DES、AES、SANGFOR_DES、AES192、AES256。
勾选启用选项,则此策略设置完成后立即生效。点击<确定>后保存并启用规则。
:
1.标准IPSec只支持路由模式部署,不支持网桥和单臂模式部署。
2.标准IPSec也不支持两端都配置对端为动态IP的环境。
3.加密算法如果选择 深信服的DES则要求双方都是深信服的设备。