tunnel no.: 当您设定fvr9208 内建之vpn 功能时,请选择您要设定的tunnel 通道编号,fvr9208 可支持最高100vpn 通道设定(site to site 或client to site 联机)
interface: 您可以选择哪一个接口位置做为此vpn 信道的节点,当您有设定fvr9208 为双线负载平衡模式时,您可以选择wan1 或是wan2 作为此vpn 通道的使用.
tunnel name: 设定此通道连接名称,如xxx office,建议您若是有一个以上的通道设定的话,务必将每一个通道名称都设为不同,以免混淆
此通道名称若是您需要连接其它vpn 设备(非fvr9208)时,有一些设备规定此通道名称要与主控端为相同名称并做验证,此通道才会顺利联机开启!
enable: 勾选enable 选项,将此vpn 信道开启.
local group setup:
local security gateway
区域端群组设定,有五种操作模式项目选择,分别为:
ip only-只使用ip 作为认证
ip din (fqdn) ahii ip 网域名称
type: ip + domain name(fqdn) authentication,-ip+网域名称
ip + e-mail addr.(user fqdn) authentication,-ip+电子邮件
dynamic ip + domain name(fqdn) authentication,-动态ip 位置+网域名称
dynamic ip + e-mail addr.(user fqdn) authentication. 动态ip位置+电子邮件名称
此项目的近端网关安全群组设定( local security gateway )型态必须与远程连接远程的网关安全群组设定( remote security gateway)型态相同.
(1) ip only: 若您选择ip only 型态的话, 只有固定填入此ip 位置可以存取此信道,然后fvr9208 的wan ip 位置,将会自动填入此项目空格内,您不需要在进行额外设定.
(2) ip + domain name(fqdn) authentication:若您选择ip+网域名称型态的话,请输入您所验证的网域名称以及ip 位置然后fvr9208 的wan ip 位置,将会自动填入此项目空格内,您不需要在进行额外设定. fqdn 是指主机名称以及网域名称的结合,也必须存在于internet 上可以查询的到,如vpn.server.com.此ip 位置以及网域名称必须与远程的vpn安全网关器设定型态相同才可以正确连接.
(3) ip + e-mail addr.(user fqdn) authentication: 若您选择ip 位置加上电子邮件型态的话, 只有固定填入此ip 位置以及电子邮件位置可以存取此信道,然后fvr9208 的wan ip 位置,将会自动填入此项目空格内,您不需要在进行额外设定
(4) dynamic ip + domain name(fqdn) authentication:若是您使用动态ip 位置连接fvr9208 时,您可以选择动态ip 位置加上主机名称以及网域名称的结合
(5) dynamic ip + e-mail addr.(user fqdn)authentication: 若是您使用动态ip 位置连接fvr9208 时, 您可以选择此型态连接vpn,当远程的vpn 网关要求与fvr9208作为vpn联机时, fvr9208 将会开始验证并响应此vpn通道联机; 请输入电子邮件认证到e-mail 位置空格字段中
local security group type
此为设定本地区域端的vpn 联机安全群组设定,以下有几个关于本地区域端设定的项目,请您选择并设置适当参数:
(1) ip address
此项目为允许此vpn 信道联机后,只有输入此ip 位置的本地端计算机可以联机.
以上的设定参考为:当此vpn 通道联机后,于192.168.1.0~255 的此网段的ip 位置范围的计算机可以联机.
(2) subnet
此项目为允许此vpn 信道联机后,每一台于此网段的本地端计算机都可以联机..
以上的设定参考为:当此vpn 通道联机后,只有192.168.1.0,子网掩码为255.255.255.192 的此网段计算机可以与远程vpn 联机ip range
此项目为允许此vpn 信道联机后,只有输入此ip 位置范围的本地端计算机可以联机
以上的设定参考为:当此vpn 通道联机后,只有192.168.1.0 到
192.168.1.254 的ip 位置范围的计算机可以联机
remote group setup: 远程安全群组设定
remote security gateway
remote security
gateway type:
远程安全群组设定,有五种操作模式项目选择,分别为:
ip only-只使用ip 作为认证
ip + domain name(fqdn) authentication,-ip+网域名称
ip + e-mail addr (user fqdn) authentication -ip+电子邮件
ip + e-mail addr.(user fqdn) authentication,-ip+电子邮件
dynamic ip + domain name(fqdn) authentication,-动态ip 位置+网域名称
dynamic ip + e-mail addr.(user fqdn) authentication. 动态ip位置+电子邮件名称
此项目的远程网关安全群组设定( local security gateway )型态必须与近端的网关安全群组设定( remote security gateway)型态相同.
(1) ip only: 若您选择ip only 型态的话, 只有固定填入此ip 位置可以存取此信道,然后fvr9208 的wan ip 位置,将会自动填入此项目空格内,您不需要在进行额外设定.
(2) ip + domain name(fqdn) authentication:若您选择ip+网域名称型态的话,请输入您所验证的网域名称以及ip 位置然后fvr9208 的wan ip 位置,将会自动填入此项目空格内,您不需要在进行额外设定. fqdn 是指主机名称以及网域名称的结合,也必须存在于internet 上可以查询的到,如vpn.server.com.此ip 位置以及网域名称必须与远程的vpn安全网关器设定型态相同才可以正确连接.
(3) ip + e-mail addr.(user fqdn) authentication: 若您选择ip位置加上电子邮件型态的话, 只有固定填入此ip 位置以及电子邮件位置可以存取此信道,然后fvr9208 的wan ip 位置,将会自动填入此项目空格内,您不需要在进行额外设定
(4) dynamic ip + domain name(fqdn) authentication: 若是您使用动态ip 位置连接fvr9208 时,您可以选择动态ip 位置加上主机名称以及网域名称的结合
(5) dynamic ip + e-mail addr.(user fqdn) authentication: 若是您使用动态ip 位置连接fvr9208 时, 您可以选择此型态连接vpn,当远程的vpn 网关要求与fvr9208 作为vpn 联机时,fvr9208 将会开始验证并响应此vpn 通道联机; 请输入电子邮件认证到e-mail 位置空格字段中
remote security group
type:
此为设定本地区域端的vpn 联机安全群组设定,以下有几个关于本地区域端设定的项目,请您选择并设置适当参数:
(1)ip address
此项目为允许此vpn 信道联机后,只有输入此ip 位置的本地端计算机可以联机.
以上的设定参考为:当此vpn 通道联机后,于192.168.1.0~255 的此网段的ip 位置范围的计算机可以联机.
(2)subnet
此项目为允许此vpn 信道联机后,每一台于此网段的本地端计算机都可以联机..
以上的设定参考为:当此vpn 通道联机后,只有192.168.1.0,子网掩码为255.255.255.192 的此网段计算机可以与远程vpn 联机
(3)ip range
此项目为允许此vpn 信道联机后,只有输入此ip 位置范围的本地端计算机可以联机
以上的设定参考为:当此vpn 通道联机后,只有192.168.1.0 到192.168.1.254 的ip 位置范围的计算机可以联机
ipsec setup
若是任何加密机制存在的话, 此两个vpn 通道的加密机制必须要相同才可以将此通道连接,并于传输资料中加上标准的ipsec 密钥,于此我们称为加密密钥“key” . fvr9208 提供了以下二种加密管理模式,分别为手动(manual ) 以及ike 自动加密模式- ike with preshared key (automatic)如下图所示.
manual –手动模式
若您选择手动模式的话,此提供您自订加密密钥,而此密钥不需经过任何交握( negotiation)..
encryption: 此加密选项设定为设定此vpn 信道使用何种加密模式,并请注意设置此参数必须与远程的加密参数相同:
des: 64-位加密模式
3des:.168-位加密模式
当然您也可以选择通道不加密方式处理,您只要选择“disable”即可!
authentication: 此验证选项设定为设定此vpn 信道使用何种验证模式,并请注意设置此参数必须与远程的验证模式参数相同:
“md5”
“sha”
当然您也可以选择信道不验证模式方式处理,您只要选择“disable”即可!
key management: 此选项设定为当您设定此vpn 信道使用何种加密模式以及验证模式后,必须设定一组交换密码,并请注意此参数必须与远程的交换密码参数相同;设定的方式有自动auto (ike)或是手动manual.设定二种:于设定时请您选择其中一种设定方式即可!
于auto (ike), 选项中,您必须输入一组交换密码于“pre-shared key” 的字段中,在此的范例设定为test,您可以输入数字或是文字的交换密码,系统将会自动的将您输入的数字或是文字的交换密码自动转成vpn 信道连接时的交换密码与验证机制;此数字或是文字的交换密码最高可输入23 个文字组合.
另外您可以选择pfs(perfect forward secrecy)以便作为交换密码机制,若您将pfs 选项勾选后,记得另外的远程vpn 设备或是vpn client也要将pfs 功能开启.
sa lifetime 设定为此交换密码的有效时间,系统默认值为3600 秒(1小时),于此有效时间内的vpn 联机,系统会自动的将于有效时间后,自动的生成其它的交换密码以确保安全.
encryption:
此加密选项设定为设定此vpn 信道使用何种加密模式,并请注意设置此参数必须与远程的加密参数相同:
des: 64-位加密模式3des:.128-位加密模式.
authentication:
此验证选项设定为设定此vpn 信道使用何种验证模式,并请注意设置此参数必须与远程的验证模式参数相同:
“md5”/“sha”
group:
于此选项可以选择采用diffie-hellman 群组方式: group1 或是group2/group3..
key lifetime:
设定为此交换密码的有效时间,系统默认值为3600 秒(1 小时),于此有效时间内的vpn 联机,系统会自动的将于有效时间后,自动的生成其它的交换密码以确保安全.
manual-手动方式
manual 为手动方式设定交换密码,于此分成加密密码“encryptionkey”以及验证密码“authentication key”二种,您可以输入数字或是文字的交换密码,系统将会自动的将您输入的数字或是文字的交换密码自动转成vpn 信道连接时的交换密码与验证机制;此数字或是文字的交换密码最高可输入23 个文字组合.
另外还需要设定“inbound spi”的交换字符串以及“outbound spi”交换字符串,此字符串必须与远程vpn 设备连接时相同;于此的inbound spi 设定参数,您必须在远程的vpn 设备的outbound spi设定相同字符串,而于本地端的outbound spi 设定字符串,也必须与在远程的vpn 设备的inbound spi 设定相同字符串!
advanced(进阶作业模式)-只供给使用自动交换密钥模式使用(ike preshareed key only)
advanced settings are only for ike with preshared key mode of ipsec.
advance mode:(进阶作业模式)
在fvr9208 的进阶设定项目中,分别有main mode 以及aggressive.
模式, main mode 是fvr9208 的预设vpn作业模式而且与大多数的其它vpn 设备使用连接方式为相同;另外aggressive mode 大多为远程的设备采用,如使用动态ip 连接时,为了加强其安全控管机制,.
netbios broadcast:
若选择此项目勾选,则连接的vpn通道中会让netbios 广播封包通过.,有助于微软的系统网络芳邻等连接容易,但是相对的占用此vpn 通道的流量就会加大!
compress:
若选择此项目勾选,则连接的vpn通道中fvr9208 支持ip 表头型态的压缩(ip payload compression protocol).
keep-alive:
若选择此项目勾选,则连接的vpn 通道中会持续保持此条vpn 连接不会中断,此使用多为分公司远程节点对总部的连接使用,或是无固定ip 位置的远程使用.
ah hash algorithm:
ah (authentication header) 验证表头封包格式,可选择md5/dsha-1