IPSec VPN
冗余
IPSec VPN
FortiGate-500
安装和配置指南
201
请
见
第
196
页
“
添加
一个
加密策略
”
。
6
按
照
如
下顺
序
排
列
策略
:
·向
外
加密策略
·向
内
加密策略
·
默认的非
加密策略
(内部
_
全部
->
外部
_
全部)
冗余
IPSec VPN
为了
保证一个
IPSec VPN
通道
的连
续
有
效
,您可以配置本
地
FortiGate
设备和
远
程
VPN
端
点 (
远
程网关)之
间
的多
重
连接。使用
了冗余
配置
后
,如果一个连接
失
败
了
,
FortiGate
设备将使用其他连接
建立通道
。
配置由
每
个
VPN
端
点拥有的到
互联
网的连接
数量决
定。例如,如果本
地
VPN
端
点有
两
个到
互联
网的连接,
那
么
它可以提
供
两
个到
远
程
VPN
端
点的
冗余
连接。
单独
一个
VPN
端
点
最
多可以配置
三
个
冗余
连接。
VPN
连接
双
方
不
需要
具有
相
同
的
互联
网连接
数
。例如,在
两
个
VPN
端
点之
间
,一个
可以有多个到
互联
网的连接,
而
另
一个可以
只
有一个到
互联
网的连接。
当
然
,使用不
对
称
的配置的
情况
下
,
VPN
的一
端
的
冗余级
别
和
另
一
端
不
同
。
配置
冗余
IPSec VPN
在配置
VPN
之
前
,
确
保
两
个
FortiGate
设备
都
有到
互联
网的多
重
连接。
对
于
每
个设
备,
首
先添加
多个 (
两
个或更多)外部接口。
然
后
将
每
个接口
分
配到一个外部
区域
。
最后
,
为
每
个接口
添加
到
互联
网的路由。
使用
对
称
的设置配置
两
个
FortiGate
设备到
互联
网的连接。例如,如果
远
程
FortiGate
设备有
两
个外部接口
并被分组
到
同
一
区域
内,
那
么
本
地
的
FortiGate
设备
应
当
也
有
两
个在
同
一
区域
内的外部接口。
类似
地
,如果
远
程
FortiGate
设备有
两
个外部接口
并
且
在不
同
的
区域
中,
那
么
本
地
FortiGate
设备
应当
也
有
两
个在不
同区域
中的外部接口。
如果所有的外部接口
都
分组
在
同
一
区域
内,配置将
比
接口在不
同区域
内简
单
。
然
而
,处于安全
角
度考
虑
,或者其他
原
因,可能
无法这
样
配置。
当
您定
义完了
两
个
FortiGate
设备到
互联
网的连接
后
,您可以开始配置
VPN
通道
。
向
内
NAT
如果
需要
,选
择向
内
NAT
。
向
外
NAT
如果
需要
,选
择向
外的
NAT
。
注意:
为了
允
许
VPN
辐条
访问其他网络,例如
互联
网,默认的非
加密策略是
必
须
的。
注意:
IPSec
冗余
只
能
应
用于有
静态
IP
地址
和使用
预
置
密钥
或
数
字证
书
彼
此
认证的
VPN
端
点。
它不能
应
用于使用动
态分
配
IP
地址
(
拨
号用户)的
VPN
端
点。它
也
不能
应
用于使用手工
密钥
的
VPN
端
点。
Summary of Contents for FortiGate 500
Page 26: ...14 美国飞塔有限公司 客户服务和技术支持 简介 ...
Page 42: ...30 美国飞塔有限公司 下一步 开始 ...
Page 58: ...46 美国飞塔有限公司 配置举例 到互联网的多重连接 NAT 路由 模式安装 ...
Page 136: ...124 美国飞塔有限公司 在您的内部网络中提供 DHCP 服务 网络配置 ...
Page 144: ...132 美国飞塔有限公司 添加 RIP 过滤器 RIP 配置 ...
Page 192: ...180 美国飞塔有限公司 配置用户组 用户与认证 ...
Page 216: ...204 美国飞塔有限公司 VPN 监视和问题解答 IPSec VPN ...
Page 230: ...218 美国飞塔有限公司 L2TP VPN 配置 PPTP 和 L2TP VPN ...
Page 248: ...236 美国飞塔有限公司 URL 排除列表 网页内容过滤 ...
Page 276: ...264 美国飞塔有限公司 索引 ...