Branch Office VPN > 配置网关 > 配置模式和转换(第 1 阶段设置)

配置模式和转换(第 1 阶段设置)

建立 IPSec 连接的第 1 阶段是指两个对等方建立一个经过认证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。

第 1 阶段交换可以使用主模式攻击性模式。 模式决定在该阶段发生的消息交换的类型和数量。

转换是一组用于保护 VPN 数据的安全协议和算法。 在 IKE 协商过程中,对等方使用特定转换达成一致。

可以定义一个隧道,使其为对等方提供多个用于协商的转换。 有关详细信息,请参阅添加第 1 阶段转换

  1. 网关页面中,选择第 1 阶段设置选项卡。
  1. 模式下拉列表,选择主模式攻击性模式主模式回退到攻击性模式

主模式

主模式安全性更高,共传送六条消息,使用三个单独的消息交换。 前两条消息用于协商策略,接下来的两条消息用于交换 Diffie-Hellman 数据,最后两条消息用于认证 Diffie-Hellman 交换。 主模式支持 Diffie-Hellman 组 1、2 和 5。 该模式允许使用多个转换,请参阅添加第 1 阶段转换

攻击性模式

该模式速度更快,因为它只使用三条消息来交换关于 Diffie-Hellman 组数据并识别这两个 VPN 端点。 但是 VPN 端点标识降低了攻击性模式的安全性。

当您使用攻击性模式时,两个端点之间的交换次数少于使用主模式,并且交换主要依靠两台设备在交换中使用的 ID 类型。 攻击性模式不能确保对等方的身份。 主模式可确保两个对等方的身份,但只能在双方都具有静态 IP 地址时使用。 如果您的设备具有动态 IP 地址,则应为第 1 阶段使用攻击性模式。

主模式回退到攻击性模式

XTM 设备会首先尝试使用主模式进行第 1 阶段交换。 如果协商失败,它将使用攻击性模式。

  1. 如果希望在 XTM 设备与位于 NAT 设备后面的另一设备之间建立 BOVPN 隧道,请选中 NAT 穿越复选框。 NAT 穿越(或称 UDP 封装)能够使流量到达正确的目的地。
  2. 保持活动间隔文本框中,键入或选择在发送下一个 NAT 保持活动消息之前经过的秒数。
  3. 要让 XTM 设备发送消息到其 IKE 对等方以使 VPN 隧道保持打开状态,请选中 IKE 保持活动复选框。
  4. 消息间隔文本框中,键入或选择 IKE 保持活动消息的发送间隔(以秒为单位)。

IKE 保持活动仅用于 XTM 设备。 如果一个 VPN 端点是第三方 IPSec 设备,则请勿启用该功能。

  1. 要设置 XTM 设备在再次协商第 1 阶段之前尝试发送 IKE 保持活动消息的最大次数,请在最大失败次数文本框中键入所需数值。
  2. 使用 Dead Peer Detection 复选框可启用或禁用基于流量的 Dead Peer Detection。 如果启用了 Dead Peer Detection,XTM 设备仅在发生以下情况时才会连接到对等方:在指定时长内未收到来自对等方的任何流量,并且有数据包等待发往对等方。 这种方式比 IKE 保持活动消息更易于扩展。

如果要更改 XTM 设备的默认配置,可在流量闲置超时文本框中,键入或选择 XTM 设备尝试连接到对等方前等待的时间(以秒为单位)。 在最大重试次数文本框中,键入或选择 XTM 设备在宣告对等方已终止活动之前尝试建立连接的次数。

Dead Peer Detection 是大部分 IPSec 设备使用的行业标准。 如果两台端点设备都支持 Dead Peer Detection,建议您选择该选项。

不要启用 IKE 保持活动和 Dead Peer Detection。

要配置 VPN 故障转移,必须先启用失效检测。 有关 VPN 故障转移的详细信息,请参阅配置 VPN 故障转移

  1. XTM 设备包含一个默认转换集,该转换集显示在转换设置列表中, 用于指定 SHA-1 认证、3DES 加密和 Diffie-Hellman 组 2。
    您可以:

请参阅

配置网关

定义网关端点

提供反馈  •   获得支持  •   全部产品文件  •   知识库