远程模式 (Remote Mode)指定远程站采用的角色。 – Roadwarrior 输入可访问的远程地址。从伙伴识别可访问的远程子网。 – Standardyongjiu输入可访问的远程地址和可访问的远程子网。 • 远程类型 (Remote Type) 指定远程站的地址类型。 – 手动(Manual) 获知伙伴的地址。设备既可作为 VPN 客户端主动建立 VPN 连接,也可以被动等待伙 伴建立连接。 – 任意(Any) 接受采用任何 IP 地址的远程站的连接。设备只能等待 VPN 连接而无法像主动方那样 建立 VPN 隧道。 • 远程地址(Remote Address) 只能采用远程类型“Manual”进行编辑。 – 在标准模式下,输入伙伴的 WAN IP 地址或DDNS 主机名。网络掩码始终是 32 – 在 Roadwarrior 模式下,可指定伙伴的地址或输入可接受其连接的 IP 范围。 •远程子网 (Remote Subnet) – 在标准模式下,输入远程站的远程子网。使用 CIDR 表示法。 多个子网只能与 IKv2一起使用。然后在输入子网时使用逗号隔开。 – 在 Roadwarrior 模式下,设备通过远程站识别可访问的子网,并对其进行学习。 •虚拟 IP 模式 (Virtual IP Mode) 指定是否为远程站提供虚拟 IP 地址。 可设置以下选项: – 无 (None)无虚拟 IP 地址。动态建立到远程站内部 IP 地址的 VPN 隧道。 – 用户定义的 IPv4 (User definedIPv4) 虚拟 IP 地址来自“虚拟 IP”中指定的区段。 • 虚拟 IP (Virtual IP) 指定为远程站提供虚拟 IP地址的子网 (CIDR)。 只有在“虚拟 IP 模式”(Virtual IP Mode)下选择了“用户定义的 IPv4”(userdefined IPv4) 才 可进行编辑。连接 可在此页面组态 VPN 连接的基本设置。使用这些设置,设备(本地端点)可建立到伙伴的非安全 VPN 隧道。可在“验证”(Authentication) 页面中指定安全设置。 说明 通过同一 VPN 端点的多个IPsec VPN 连接 如果已通过同一 VPN 端点创建了到不同远程子网的多个 IPsec VPN 连接,则首先组态的 VPN连接(索引Zui低)是主连接(父连接)。 所有其它 IPsec VPN 连接(子连接)均通过主连接创建和建立。如果所有 VPN隧道现已建立, 且父连接终止,则所有子连接均被中断。经过 DPD 超时时间后,所有 IPsec VPN 连接均通过 主连接重新建立。如果仅一个子连接被终止,则主连接和其它子连接不受影响。 说明 IPsec:阶段 2 连接的限制 每个阶段 1(远程端)Zui多创建 20个阶段 2 连接。 说明 如果使用“NETMAP” • 仅支持自动防火墙规则 •不能为“操作”(Operation)选择设置“按需”(on demand)。 说明 该页面包含以下框: • 连接名称(Connection name) 输入 VPN 连接的名称。
该表包含以下列: • 名称 (Name) 显示VPN 连接的名称。 • 操作 (Operation) 指定 VPN 连接的创建者。有关更多详细信息,请参见“技术基础 >VPN 连接建立 (页 3435)”(Technical basics > VPN connectionestalishment)。 – 禁用 (Disabled) 禁用 VPN 连接。 – 启动 (start) 该设备将尝试与伙伴建立VPN 连接。 – 等待 (wait) 设备将等待伙伴发起连接。 – 请求时 (on demand) 必要时建立 VPN 连接。 –基于 DI 启动 (start on DI) 如果发生“数字量输入”事件,则该设备将尝试与伙伴建立 VPN 连接。前提是该“数字量输入”(Digital In) 事件已转发给 VPN 连接。为此,在“系统 > 事件 > 组态 (页3495)”(System > Events > Configuration) 下,为“数字量输入”(DigitalIn) 事件启用“VPN 隧道”(VPN Tunnel)。 – 基于 DI 等待 (wait on DI)如果发生“数字量输入”事件,则该设备会等待伙伴来发起连接建立信号。 前提是该“数字量输入”(Digital In) 事件已转发给VPN 连接。为此,在“系统 (页 3495) > 事件 > 组态”(System > Events> Configuration) 下,为“数字量输 入”(Digital In) 事件启用“VPN 隧道”(VPNTunnel)。 – 通过 SMS 启动 (With start on SMS)(jinxian M87x 和 MUM85x)如果设备收到 SMS 命令,则该设备将尝试与远程站建立 VPN 连接。前提是该设备接 受了来自某些发送方的“系统”(System)类别的 SMS 命令。在“系统 > SMS > SMS 命令 (页 3537)”(System > SMS> SMS Command) 中组态发送方。 – SMS 等待 (wait on SMS)(jinxian M87x 和MUM85x) 设备接收到 SMS 命令后,将等待远程站发起连接建立信号。前提是该设备接受了来自 某些发送方的“系统”(System)类别的 SMS 命令。在“系统 > SMS > SMS 命令 (页 3537)”(System > SMS> SMS Command) 中组态发送方。 • 接口 (Interface) 指定建立 VPN 连接时所使用的接口。 –vlanx 用于通过本地网络 (LAN) 访问设备 – pppx 或 usb0(仅适用于 M87x 和 MUM85x): 通过 WAN接口访问设备。• 键控协议 (Keying Protocol) 指定使用 IKEv2 还是 IKEv1。 • 远程终端 (RemoteEnd) 选择所需远程站。只能组态在“远程端点”(Remote End) 页面上已组态的伙伴。 • 本地子网 (LocalSubnet) 输入本地子网。使用 CIDR 表示法。本地网络还可以是单台 PC 或本地网络的另一个子网。 多个子网只能与 IKEv2一起使用。然后在输入子网时使用逗号隔开。 • 请求虚拟 IP (Request Virtual IP)启用后,在建立连接过程中远程站会请求提供虚拟 IP 地址。 • Timeout [分钟]指定以分钟为单位的持续时间。如果未发生任何数据交换,则在该时间结束后,VPN 隧 道将自动终止。 验证 在此页面中,可指定 VPN连接伙伴间相互验证的方式。 说明 该表包含以下列: • 名称 (Name) 显示与设置相关的 VPN 连接的名称。 • 验证(Authentication) 选择验证方法。对于 VPN 连接,要求伙伴必须使用相同的验证方法。 – 已禁用未选择验证方法。无法建立连接。 – 远程证书 使用远程证书进行验证。可在“远程证书”(Remote Certificate)中指定证书。 – CA 证书 使用认证机构的证书进行验证。可在“CA 证书”中指定证书。如果要建立到 SINEMA RC 的IPsec 连接,则稍后需通过 WBM 添加证书并将其下载到设备。 – PSK 使用密钥进行验证。可在“PSK”中组态密钥。 说明对于“PSK”验证方法,指定“本地 ID”(Local ID) 和“远程 ID”(Remote ID)。如果条目保 持为空,IPSec将使用接口的 IP 地址作为 ID 并阻止 VPN 隧道进行设置。• CA 证书 (CA Certificate)选择证书。只能选择已加载的证书。 • 本地证书 (Local Certificate) 选择机器证书。只能选择 TIA Portal生成的设备证书。 可以在“系统 > 加载和保存”(System > Load&Save)下为设备加载证书。加载的证书和密 钥文件显示在 WBM 页面“Security > Certificates”上。 • 本地ID (Local ID) 输入伙伴证书中的本地 ID。只有在使用伙伴证书时,该框才可为空。该框自动用伙伴证 书中的值填充。 •远程证书 (Remote Certificate) 选择远程站证书。只能选择 TIA Portal 生成的伙伴证书。 可以在“系统> 加载和保存”(System > Load&Save) 下为设备加载证书。加载的证书和密 钥文件显示在 WBM页面“Security > Certificates”上。 • 远程 ID (Remote ID)输入伙伴证书的“Distinguished Name”或“Alternate Name”。只有在使用伙伴证书时,该框才可为空。该框自动用伙伴证书中的值填充。 • PSK 输入密钥。 • PSK 确认 (PSK Confirmation)再次输入密钥。 阶段 1 阶段 1:加密协议与验证(IKE = Internet 密钥交换): 在此页面中,可以为 IPsec密钥管理协议设置参数。密钥交换使用标准化 IKE 方法,您可为 该方法设置以下协议参数。说明 该表包含以下列: • 名称 (Name)显示与设置相关联的 VPN 连接的名称。 • 默认密码 (Default Ciphers) 启用后,会在连接建立期间将预设列表传输到VPN 连接伙伴。该列表包含三种算法(加 密、验证、密钥导出)的组合。要建立 VPN 连接,VPN 连接伙伴必须至少支持其中的一种组合。该选择取决于密钥交换方法。更多信息,请参见“IPsec VPN (页 3464)”部分 • 加密(Encryption) 对于阶段 1,选择所需的加密算法。只有在“默认密码”(Default Ciphers) 禁用后才可选择。该选择取决于密钥交换方法。更多信息,请参见“IPsec VPN (页 3464)”部分。 说明 CCM 和 GCM 这两种AES 模式各自包含单独的数据验证机制。如果使用 AES x CCM 模式进行加密,则在验证时也会使用相同的模式。然后,仅伪随机函数源自“验 证”(Authentication) 参数。要建立 VPN连接,所有设备需要使用相同的设置。 • 验证 (Authentication)指定计算校验和的方法。只有在“默认密码”(Default Ciphers) 禁用后才可选择。 支持下列方法: – MD5 – SHA1– SHA512 – SHA256 – SHA384 • 密钥导出 (Key derivation) 选择要从中生成密钥的所需Diffie-Hellmann 组 (DH)。只有在“默认密码”(Default Ciphers) 禁用后才可选择。 支持以下 DH组: – DH Group 1 – DH Group 2 – DH Group 5 – DH Group 14 – DH Group15 – DH Group 16 – DH Group 17 – DH Group 18