更新时间:2023-06-05
第二阶段主要配置VPN的[入站策略]和[出站策略],如下图。
管理员需要对入站策略和出战策略配置所用到的一样的参数进行统一说明。
表23出战策略和入站策略相关操作说明表
操作 |
功能说明 |
策略名称 |
可自定以策略名称 |
描述 |
简单描述该策略的作用 |
源IP类型 |
可选择单个IP或者子网+掩码 |
源IP地址 |
用来设置允许VPN对端访问本端的IP地址或IP地址段。 |
对端设备 |
用来选择对端设备,该设备在第一阶段中进行定义。 |
过期时间 |
可以设置该策略的过期时间,到了指定的时间则此策略失效。 |
启用策略 |
启用该策略,如果对端设备设置了PFS,则需同时勾上[启用密钥完美向前保密]。 |
其中入站策略和出战策略不同参数的说明:
入站策略
入站服务:用来选择允许的入站服务,可选择包括:TCP、UDP、ICMP和所有服务。服务需要在[VPN配置/高级设置/内网服务设置]里预先定义好。
出战策略
SA生存时间:用来定义第二阶段策略的生存期时间,只支持按秒计时。
出站服务:用来选择允许的出站服务。服务需要在[VPN配置/高级设置/内网服务设置]里预先定义好。
安全选项:用来选择双方协商时的安全策略,在[安全选项]标签页中进行配置。
:
1.如果启用了PFS,则必须保证对端VPN设备上第一阶段设置的DH组和第二阶段设置的DH组要一致,否则会导致IPSec VPN无法正常建立连接。
2. [出站策略]和[入站策略]中的[出站服务]、[入站服务]和[时间设置]均为SANGFOR扩展的规则,此类规则仅在本端设备生效,在与第三方设备建立VPN连接的过程中不会协商此类规则。
3.[出站策略]和[入站策略]中策略所对应的源IP地址是指[源IP类型]和[本/对端服务]。