Branch Office VPN > 创建手动 BOVPN 时的要求
创建手动 BOVPN 时的要求
在 XTM 设备上配置分支机构 VPN 网络之前,请先阅读以下要求:
- 必须准备两台 XTM 设备,或者一台 XTM 设备和一台使用 IPSec 标准的设备。 如果尚未在另一台设备上启用 VPN 选项,则必须将其启用。
- 两台设备必须各自具有连接到 Internet 的外部接口。
- 每个 VPN 设备的 Internet 服务提供商 (ISP) 都必须允许 IPSec 流量通过其网络。
除非您将 Internet 服务升级到支持 VPN 隧道的级别,否则一些 ISP 不允许您在其网络上创建 VPN 隧道。 咨询每个 ISP 的代表,确保下列端口和协议受到支持:
- UDP 端口 500(Internet 密钥交换,即 IKE)
- UDP 端口 4500(NAT 穿越)
- IP 协议 50(封装安全负载,即 ESP)
- 如果 VPN 隧道的另一端是 XTM 设备并且两端都是托管设备,那么您可以使用 Managed VPN 选项。 Managed VPN 比 Manual VPN 更易于配置。 要使用此选项,您必须从位于 VPN 隧道另一端的 XTM 设备管理员那里获取相关信息。
- 您必须要知道分配给 XTM 设备外部接口的 IP 地址是静态的还是动态的。
有关 IP 地址的详细信息,请参阅关于 IP 地址。
- XTM 设备型号会告诉您最多可创建多少个 VPN 隧道。 如果您的 XTM 设备可升级,则可以购买型号升级来增加可支持 VPN 隧道的最大数量。
- 如果要连接两个 Microsoft Windows NT 网络,那么它们必须位于同一 Microsoft Windows 域中或者必须都是可信任的域。 这是关于 Microsoft 网络的问题,而不是 XTM 设备的限制。
- 如果希望使用在 VPN 隧道另一端网络中的 DNS 和 WINS 服务器,则必须知道这些服务器的 IP 地址。
XTM 设备在向其可信任网络中的计算机通过 DHCP 提供 IP 时,还同时可以提供 WINS 和 DNS IP 地址。
- 如果希望向计算机提供 VPN 另一端上的 WINS 和 DNS 服务器的 IP 地址,则可以在可信任网络设置的 DHCP 设置中键入这些地址。
关于如何配置 XTM 设备以使用 DHCP 分配 IP 地址的信息,请参阅在混合路由模式中配置 DHCP。
- 您必须知道位于 XTM 设备后面的专用(可信任)网络的网络地址、位于其他 VPN 设备后面的网络的网络地址以及它们的子网掩码。
位于 XTM 设备后面的计算机的专用 IP 地址不能与 VPN 隧道另一端计算机的 IP 地址相同。 如果可信任网络与将创建 VPN 隧道的办公室使用相同的 IP 地址,则您的网络或另一网络必须更改其 IP 地址分配以防发生 IP 地址冲突。