添加 L2TP IPSec 第 1 阶段转换
您可以定义一个隧道,使其为对等方提供用于协商的多个转换集。 例如,第一个转换集可能包含 SHA1-DES-DF1([认证方法]-[加密方法]-[密钥组]),第二个转换可能包含 MD5-3DES-DF2,其中 SHA1-DES-DF1 转换是优先级别较高的转换集。 在隧道创建后,XTM 设备可使用 SHA1-DES-DF1 或 MD5-3DES-DF2 来匹配另一个 VPN 端点的转换集。
最多可以添加九个转换集。
- 在 Mobile VPN with L2TP 配置页面上,选择 IPSec 选项卡。
- 选择第 1 阶段设置选项卡。
- 在转换设置部分中,单击添加。
将显示第 1 阶段转换对话框。
- 从身份验证下拉列表,选择 SHA1 或 MD5 作为身份验证类型。
- 从加密下拉列表,选择 AES(128 位)、AES(192 位)、AES(256 位)、DES 或 3DES 作为加密类型。
- 要更改 SA(安全性关联)的有效期,可在 SA 有效期文本框中键入一个数字,然后从相邻的下拉列表选择小时或分钟。 SA 有效期必须是小于 596523 小时或 35791394 分钟的数字。
- 从密钥组下拉列表中选择一个 Diffie-Hellman 组。 Fireware XTM 支持组 1、2 和 5。
Diffie-Hellman 组确定了在密钥交换进程中使用的主密钥的加密强度。 组编号越高,安全性就越高,但生成密钥所需的时间也越长。 有关详细信息,请参阅关于 Diffie-Hellman 组。
- 单击确定。
- 重复步骤 3 到 7 以添加更多转换。 处于列表顶部的转换集会首先被使用。
- 要更改转换集的优先级,请选中该转换集并单击上移或下移。
- 单击确定。
请参阅
配置模式和转换(第 1 阶段设置)
配置网关
定义网关端点