建立 IPSec 连接的第 1 阶段是指两个对等方建立一个经过认证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。
第 1 阶段交换可以使用主模式或攻击性模式。 模式决定在该阶段发生的消息交换的类型和数量。
转换是一组用于保护 VPN 数据的安全协议和算法。 在 IKE 协商过程中,对等方使用特定转换达成一致。
可以定义一个隧道,使其为对等方提供多个用于协商的转换。 有关详细信息,请参阅添加第 1 阶段转换。
主模式
主模式安全性更高,共传送六条消息,使用三个单独的消息交换。 前两条消息用于协商策略,接下来的两条消息用于交换 Diffie-Hellman 数据,最后两条消息用于认证 Diffie-Hellman 交换。 主模式支持 Diffie-Hellman 组 1、2 和 5。 该模式允许使用多个转换,请参阅添加第 1 阶段转换。
攻击性模式
该模式速度更快,因为它只使用三条消息来交换关于 Diffie-Hellman 组数据并识别这两个 VPN 端点。 但是 VPN 端点标识降低了攻击性模式的安全性。
当您使用攻击性模式时,两个端点之间的交换次数少于使用主模式,并且交换主要依靠两台设备在交换中使用的 ID 类型。 攻击性模式不能确保对等方的身份。 主模式可确保两个对等方的身份,但只能在双方都具有静态 IP 地址时使用。 如果您的设备具有动态 IP 地址,则应为第 1 阶段使用攻击性模式。
主模式回退到攻击性模式
XTM 设备会首先尝试使用主模式进行第 1 阶段交换。 如果协商失败,它将使用攻击性模式。
IKE 保持活动仅用于 XTM 设备。 如果一个 VPN 端点是第三方 IPSec 设备,则请勿启用该功能。
如果要更改 XTM 设备的默认配置,可在流量闲置超时文本框中,键入或选择 XTM 设备尝试连接到对等方前等待的时间(以秒为单位)。 在最大重试次数文本框中,键入或选择 XTM 设备在宣告对等方已终止活动之前尝试建立连接的次数。
Dead Peer Detection 是大部分 IPSec 设备使用的行业标准。 如果两台端点设备都支持 Dead Peer Detection,建议您选择该选项。
不要启用 IKE 保持活动和 Dead Peer Detection。
要配置 VPN 故障转移,必须先启用失效检测。 有关 VPN 故障转移的详细信息,请参阅配置 VPN 故障转移