站点间 VPN

虚拟专用网络 (VPN) 是一种网络连接，通过诸如互联网或其他网络之类的公共资源在远程对等体之间建立安全隧道。VPN 使用隧道来封装正常 IP 数据包内的数据包，以在基于 IP 的网络上转发。它们使用加密来确保隐私和身份验证，以确保数据的完整性。

VPN 基础知识

借助隧道，可以使用互联网等公共 TCP/IP 网络在远程用户与企业专用网络之间创建安全连接。每个安全连接都称为一个隧道。

基于 IPSec 的 VPN 技术通过互联网安全关联和密钥管理协议（ISAKMP 或 IKE）以及 IPSec 隧道标准来建立和管理隧道。ISAKMP 和 IPSec 将完成以下操作：

协商隧道参数。
建立隧道。
验证用户和数据。
管理安全密钥。
加密和解密数据。
管理隧道中的数据传输。
作为隧道终端或路由器管理入站和出站数据传输。

VPN 中的设备可用作双向隧道终端。它可以从专用网络接收明文数据包，将其封装，创建隧道，然后发送到隧道的另一端，随后解封并发送到最终目的地。它也会从公用网络接收封装数据包，将其解封，然后发送给其在专用网络上的最终目的地。

建立站点间 VPN 连接之后，本地网关后的主机可通过安全 VPN 隧道连接至远程网关后的主机。一个连接由以下部分组成：这两个网关的 IP 地址和主机名、这两个网关后的子网，以及这两个网关用来进行相互身份验证的方法。

互联网密钥交换 (IKE)

互联网密钥交换 (IKE) 是用于对 IPsec 对等体进行身份验证，协商和分发 IPsec 加密密钥以及自动建立 IPsec 安全关联 (SA) 的密钥管理协议。

IKE 协商包含两个阶段。第 1 阶段协商两个 IKE 对等体之间的安全关联，使对等体能够在第 2 阶段中安全通信。在第 2 阶段协商期间，IKE 为其他应用建立 SA，例如 IPsec。两个阶段在协商连接时均使用方案。

IKE 策略是一组算法，供两个对等体用于保护它们之间的 IKE 协商。在各对等体商定公共（共享）IKE 策略后，即开始 IKE 协商。此策略声明哪些安全参数保护后续 IKE 协商。对于 IKE 版本 1 (IKEv1)，IKE 策略包含单个算法集和模数组。与 IKEv1 不同，在 IKEv2 策略中，您可以选择多个算法和模数组，对等体可以在第 1 阶段协商期间从中进行选择。可创建单个 IKE 策略，尽管您可能需要不同的策略来向最需要的选项赋予更高优先级。对于站点间 VPN，您可以创建单个 IKE 策略。

要定义 IKE 策略，请指定：

唯一优先级（1 至 65,543，其中 1 为最高优先级）。
一种 IKE 协商加密方法，用于保护数据并确保隐私。
散列消息身份验证代码 (HMAC) 方法（在 IKEv2 中称为完整性算法），用于确保发送人身份，以及确保消息在传输过程中未被修改。
对于 IKEv2，使用单独的伪随机函数 (PRF) 作为派生 IKEv2 隧道加密所要求的密钥内容和散列运算的算法。这些选项与用于散列算法的选项相同。
Diffie-Hellman 群，用于确定 encryption-key-determination 算法的强度。设备使用此算法派生加密密钥和散列密钥。
身份验证方法，用于确保对等体的身份。
在更换加密密钥前，设备可使用该加密密钥的时间限制。

当 IKE 协商开始时，发起协商的对等体将其启用的所有策略发送到远程对等体，然后远程对等体按优先级顺序搜索其自己的策略的匹配项。如果 IKE 策略具有相同的加密、散列（完整性和用于 IKEv2 的 PRF）、身份验证和 Diffie-Hellman 值，而且 SA 生命周期小于或等于发送的策略中的生命周期，则它们之间存在匹配。如果生命周期不同，则会应用较短的生命周期（来自远程对等体）。默认情况下，使用 DES 的简单 IKE 策略是唯一启用的策略。您可以启用更高优先级的其他 IKE 策略来协商更强的加密标准，但 DES 策略应确保成功协商。

VPN 连接应具有多高的安全性？

由于 VPN 隧道通常流经公共网络（最可能是互联网），因此您需要对连接进行加密以保护流量。可以使用 IKE 策略和 IPsec 提议定义要应用的加密和其他安全技术。

如果您的设备许可证允许应用较强的加密，则有大量的加密和散列算法以及 Diffie-Hellman 组供您选择。然而，通常情况下，应用于隧道的加密越强，系统性能越差。您要在安全性和性能之间实现平衡，在提供充分保护的同时不牺牲效率。

我们无法就选择哪些选项提供具体指导。如果您在大型公司或其他组织执行运营，可能已有需要满足的指定标准。如果没有，请花些时间研究各个选项。

下面的主题介绍了几个可用选项。

决定使用哪个加密算法

在决定用于 IKE 策略或 IPsec 提议的加密算法时，您的选择仅限于 VPN 中的设备所支持的算法。

对于 IKEv2，您可以配置多个加密算法。系统将按安全性从高到低的顺序对设置进行排序，并使用该顺序与对等体进行协商。对于 IKEv1，仅可以选择一个选项。

对于 IPsec 提议，该算法用于封装安全协议 (ESP)，该协议提供身份验证、加密和防重放服务。ESP 为 IP 协议类型 50。在 IKEv1 IPsec 提议中，算法名称以 ESP- 为前缀。

如果设备许可证符合强加密要求，可以从以下加密算法中选择。如果不符合强加密要求，则只能选择 DES。

AES-GCM - （仅 IKEv2。）Galois/Counter 模式中的高级加密标准是提供机密性和数据源身份验证的分组加密操作模式，并且提供比 AES 更高的安全性。AES-GCM 提供三种不同的密钥强度：128 位、192 位和 256 位密钥。密钥越长，其提供的安全性就越高，但性能会随之降低。GCM 是支持 NSA Suite B 所需的 AES 模式。NSA Suite B 是一套加密算法，设备必须支持这套算法才能满足密码强度的联邦标准。.
AES-GMAC -（仅 IKEv2 IPsec 提议。）高级加密标准 Galois 消息身份验证代码是仅提供数据源身份验证的分组加密操作模式。它是 AES-GCM 的一个变体，允许在不加密数据的情况下进行数据身份验证。AES-GMAC 提供三种不同的密钥强度：128 位、192 位和 256 位密钥。
AES - 高级加密标准是一种对称密码算法，提供比 DES 更高的安全性，在计算上比 3DES 更高效。AES 提供三种不同的密钥强度：128 位、192 位和 256 位密钥。密钥越长，其提供的安全性就越高，但性能会随之降低。
3DES - 三重 DES，使用 56 位密钥加密三次，比 DES 更加安全，因其使用不同密钥对每个数据块处理三次。不过，此算法比 DES 使用的系统资源更多且速度更慢。
DES - 数据加密标准，使用 56 位密钥进行加密，是一种对称密钥块算法。如果您的许可证账户不符合导出控制要求，这将是您唯一的选择。此算法比 3DES 快且使用的系统资源更少，但安全性也较低。如果不需要很强的数据保密性，并且系统资源或速度存在问题，请选择 DES。
空 - 空加密算法提供不加密的身份验证。这通常仅用于测试目的。

决定使用哪些散列算法

在 IKE 策略中，散列算法创建消息摘要，用于确保消息的完整性。在 IKEv2 中，散列算法分成两个选项，一个用于完整性算法，一个用于伪随机函数 (PRF)。

在 IPsec 提议中，散列算法由封装安全协议 (ESP) 用于身份验证。在 IKEv2 IPsec 提议中，这称为完整性散列。在 IKEv1 IPsec 提议中，算法名称以 ESP- 为前缀，并且还有 -HMAC 后缀（代表“散列方法身份验证代码”）。

对于 IKEv2，您可以配置多个散列算法。系统将按安全性从高到低的顺序对设置进行排序，并使用该顺序与对等体进行协商。对于 IKEv1，仅可以选择一个选项。

您可以选择以下散列算法：

SHA （安全散列算法）- 生成 160 位摘要的标准 SHA (SHA1)。SHA 抗暴力攻击的能力高于 MD5。但是，它也会比 MD5 占用更多的资源。对于需要最高级别安全性的实施，请使用 SHA 散列算法。

以下 SHA-2 选项更加安全，可用于 IKEv2 配置。如果要实施 NSA Suite B 加密规范，请选择以下选项之一。
- SHA256 - 指定具有 256 位摘要的安全散列算法 SHA 2。
- SHA384 - 指定具有 384 位摘要的安全散列算法 SHA 2。
- SHA512 - 指定具有 512 位摘要的安全散列算法 SHA 2。
MD5（消息摘要 5）- 生成 128 位的摘要。MD5 能使用更少的处理时间实现比 SHA 更快的整体性能，但 MD5 被认为安全性低于 SHA。
空或无（NULL、ESP-NONE） -（仅限 IPsec 提议。）空散列算法；这通常仅用于测试目的。但是，如果选择 AES-GCM/GMAC 选项之一作为加密算法，则应选择空完整性算法。即使选择非空选项，这些加密标准也会忽略完整性散列。

决定要使用的 Diffie-Hellman 模数组

您可以使用以下 Diffie-Hellman 密钥导出算法生成 IPsec 安全关联 (SA) 密钥。每组具有不同的长度模数。模数越大，安全性越高，但需要的处理时间更长。两个对等体上必须具有一个匹配的模数组。

如果选择 AES 加密，要支持 AES 所需的大型密钥长度，应使用 Diffie-Hellman (DH) 组 5 或更高组。IKEv1 策略不支持下面列出的所有组。

要实施 NSA Suite B 加密规范，请使用 IKEv2 并选择椭圆曲线 Diffie-Hellman (ECDH) 的一个选项：19、20 或 21。使用 2048 位模数的椭圆曲线选项和组较少遭受 Logjam 等攻击。

对于 IKEv2，您可以配置多个组。系统将按安全性从高到低的顺序对设置进行排序，并使用该顺序与对等体进行协商。对于 IKEv1，仅可以选择一个选项。

1 - Diffie-Hellman 组 1：768 位模数。DH 组 1 被视为不安全，请不要使用。
2 - Diffie-Hellman 组 2：1024 位模幂算法 (MODP) 组。此选项不再是一种良好的保护措施。
5 - Diffie-Hellman 组 5：1536 位 MODP 组。曾经被认为可以良好地保护 128 位密钥，如今却不再是一种良好的保护措施。
14 - Diffie-Hellman 组 14：2048 位模幂算法 (MODP) 组。被认为可以良好地保护 192 位密钥。
19 - Diffie-Hellman 组 19：美国国家标准与技术研究所 (NIST) 256 位椭圆曲线取素数 (ECP) 组。
20 - Diffie-Hellman 组 20： NIST 384 位 ECP 组。
21 - Diffie-Hellman 组 21： NIST 521 位 ECP 组。
24 - Diffie-Hellman 组 24：带 256 位素数阶子组的 2048 位 MODP 组。我们不再建议采用此选项。

VPN 拓扑

使用 Firepower 设备管理器仅尽可以配置点对点 VPN 连接。虽然所有连接都是点对点的，但您可以通过定义设备参与的每个隧道，链接到更大的中心辐射型或网状 VPN。

下图显示了典型的点对点 VPN 拓扑。在点对点 VPN 拓扑中，两个终端彼此直接通信。将两个终端配置为对等设备，任一台设备均可启动安全连接。

展示点对点 VPN 拓扑的图

管理站点间 VPN

您可以与对等体设备创建 VPN 连接。所有连接都是点对点连接，但您可以通过配置所有相关连接，将设备连接到更大的中心辐射型或网格 VPN 中。

注	VPN 连接使用加密技术保护网络隐私。您可以使用的加密算法取决于您的基本许可证是否允许强加密。而控制这一点的，则是您在向思科智能许可证管理器注册时是否选择了允许在设备上使用出口控制功能的选项。如果您使用的是评估许可证，或者您没有启用受到出口管制的功能，则无法使用强加密。

过程

步骤 1

点击设备，然后点击站点间 VPN 组中的查看配置。

此操作将打开“站点间 VPN”页面，其中列出了您已配置的所有连接。

步骤 2

执行以下任一操作。

要创建新的站点间 VPN 连接，请点击 + 按钮。请参阅配置站点间 VPN 连接。

如果尚无连接，也可以点击创建站点间连接按钮。
要编辑现有连接，请点击该连接的编辑图标 ()。请参阅配置站点间 VPN 连接。
要将连接配置的摘要复制到剪贴板，请点击该连接的复制图标 ()。您可以将此信息粘贴到文档中发送给远程设备的管理员，帮助完成连接另一端的配置。
要删除不再需要的连接，请点击该连接的删除图标 ()。

配置站点间 VPN 连接

假定获得了远程设备所有者的合作与权限，您可以创建点对点 VPN 连接，将您的设备链接到另一台设备。虽然所有连接都是点对点的，但您可以通过定义设备参与的每个隧道，链接到更大的中心辐射型或网状 VPN。

注	您可以为每个本地网络/远程网络组合创建单个 VPN 连接。但是，如果远程网络在每个连接配置文件中是唯一的，则可以为本地网络创建多个连接。

过程

步骤 1

点击设备，然后点击站点间 VPN 组中的查看配置。

步骤 2

执行以下任一操作：

要创建新的站点间 VPN 连接，请点击 + 按钮。

如果尚无连接，也可以点击创建站点间连接按钮。
要编辑现有连接，请点击该连接的编辑图标 ()。

要删除不再需要的连接，请点击该连接的删除图标 ()。

步骤 3

定义点对点 VPN 连接的终端。

连接配置文件名称 - 此连接的名称，最多 64 个字符，不含空格。例如，MainOffice。不能将 IP 地址用作名称。

本地站点 - 这些选项定义本地终端。

本地 VPN 访问接口 - 选择远程对等体可连接的接口。这通常是外部接口。该接口不能是桥接组的成员。
本地网络 - 点击 + 并选择标识应参与 VPN 连接的本地网络的网络对象。这些网络上的用户将能够通过该连接访问远程网络。

注	您可以为这些网络使用 IPv4 或 IPv6 地址，但必须在连接的每一侧都具有匹配的地址类型。例如，本地 IPv4 网络的 VPN 连接必须至少有一个远程 IPv4 网络。您可以在单个连接的两端结合 IPv4 和 IPv6。终端受保护的网络不能重叠。

远程站点 - 这些选项定义远程终端。
- 远程 IP 地址- 输入将用于托管 VPN 连接的远程 VPN 对等体接口的 IP 地址。
- 远程网络 - 点击 + 并选择标识应参与 VPN 连接的远程网络的网络对象。这些网络上的用户将能够通过连接访问本地网络。

步骤 4

点击下一步。

步骤 5

定义 VPN 的隐私配置。

注	您的许可证决定您可以选择哪些加密协议。您必须符合强加密的条件，即满足出口管制条件，才能并只能选择最基本的选项。

IKE 版本 2，IKE 版本 1 - 选择在互联网密钥交换 (IKE) 协商期间使用的 IKE 版本。根据需要选择一个或两个选项。当设备尝试与另一个对等体协商连接时，它使用您允许且该对等体接受的任何版本。如果这两个版本都允许，而对于最初选择的版本的协商不成功，则设备将自动回退到另一个版本。如果配置了 IKEv2，则系统将始终首先尝试它。两个对等体必须都支持 IKEv2 才能在协商中使用它。
IKE 策略 - 互联网密钥交换 (IKE) 是用于对 IPsec 对等体进行身份验证，协商和分发 IPsec 加密密钥以及自动建立 IPsec 安全关联 (SA) 的密钥管理协议。这是一个全局策略：您启用的对象应用于所有 VPN。点击编辑以检查每个 IKE 版本当前全局启用的策略，并启用和创建新的策略。有关详细信息，请参阅配置全局 IKE 策略。
IPsec 提议 - IPsec 提议定义确保 IPsec 隧道中流量安全的安全协议和算法的组合。点击编辑并为每个 IKE 版本选择提议。选择要允许的所有提议。点击设置默认值以简单选择系统默认值，这根据您的出口合规性而有所不同。系统与对等体协商，从最强到最弱的提议，直到约定一个匹配项。有关详细信息，请参阅配置 IPsec 提议。
（IKEv2）本地预共享密钥，远程对等预共享密钥 - 此设备和远程设备上为 VPN 连接定义的密钥。这些密钥在 IKEv2 中可能不同。该密钥可以有 1 至 127 个字母数字字符。
（IKEv1）预共享密钥 - 本地和远程设备上均定义的密钥。该密钥可以有 1 至 127 个字母数字字符。
NAT 免除 - 是否从本地 VPN 访问接口的 NAT 策略中免除 VPN 流量。如果不想将 NAT 规则应用于本地网络，请选择托管本地网络的接口。此选项仅在本地网络驻留在单个路由接口（而非桥接组成员）后时有用。如果本地网络位于多个路由接口或一个或多个桥接组成员之后，则必须手动创建 NAT 免除规则。有关手动创建所需规则的信息，请参阅使站点间 VPN 流量豁免 NAT。
完美前向保密的 Diffie-Hellman 组 - 是否使用完美前向保密 (PFS) 为每个加密交换生成和使用唯一会话密钥。唯一会话密钥可保护交换免于后续解密，即使整个交换已被记录且攻击者已经获得终端设备使用的预共享密钥或私钥。要启用完美前向保密，请选择在模数组列表中生成 PFS 会话密钥时使用的 Diffie-Hellman 密钥导出算法。如果同时启用 IKEv1 和 IKEv2，则选项仅限于 IKEv1 支持的那些。有关选项的说明，请查看决定要使用的 Diffie-Hellman 模数组。

步骤 6

点击下一步。

步骤 7

查看摘要并点击完成。

摘要信息将复制到剪贴板。您可以将这些信息粘贴到文档中，并使用它来帮助您配置远程对等体，或将其发送到负责配置对等体的一方。

您必须执行一些附加步骤，才能允许 VPN 隧道中的流量，如允许流量通过站点间 VPN中所述。

部署配置后，登录到设备 CLI 并使用 show ipsec sa 命令确认终端是否建立了安全关联。请参阅验证站点间 VPN 连接。

允许流量通过站点间 VPN

创建站点间连接尚无法使系统通过 VPN 隧道发送流量。还必须配置以下其中一个设置：

配置 sysopt connection permit-vpn 命令，此命令会使匹配 VPN 连接的流量免受访问控制策略的限制。此命令的默认值是 no sysopt connection permit-vpn ，这意味着 VPN 流量还必须获得访问控制策略的允许，

由于外部用户无法在远程受保护网络中伪造 IP 地址，因此这是一种允许流量通过 VPN 的较为安全的方法。但它的缺点是，VPN 流量得不到检测，也就是说不会对流量应用入侵和文件保护、URL 过滤或其他高级功能。同时，系统不会生成有关此流量的任何连接事件，且统计控制面板不会反映 VPN 连接。

使用 FlexConfig 配置此命令。
创建访问控制规则以允许来自远程网络的连接。此方法可确保对 VPN 流量进行检测，并将高级服务应用于连接。但它的缺点是，有可能造成外部用户伪造 IP 地址，进而获得访问内部网络的权限。

配置全局 IKE 策略

互联网密钥交换 (IKE) 是用于对 IPsec 对等体进行身份验证，协商和分发 IPsec 加密密钥以及自动建立 IPsec 安全关联 (SA) 的密钥管理协议。

IKE 协商包含两个阶段。第 1 阶段协商两个 IKE 对等体之间的安全关联，使对等体能够在第 2 阶段中安全通信。在第 2 阶段协商期间，IKE 为其他应用建立 SA，例如 IPsec。两个阶段在协商连接时均使用方案。IKE 方案是一组两个对等体用于保护其之间的协商的算法。在各对等体商定公共（共享）IKE 策略后，即开始 IKE 协商。此策略声明哪些安全参数用于保护后续 IKE 协商。

IKE 策略对象为这些协商定义 IKE 提议。您启用的对象是对等体协商 VPN 连接时使用的对象：不能为每个连接指定不同的 IKE 策略。每个对象的相对优先级确定首先尝试这些策略中的哪一个，数字越小优先级越高。如果协商无法找到两个对等体全都支持的策略，则不建立连接。

要定义全局 IKE 策略，需要为每个 IKE 版本选择启用哪些对象。如果预定义的对象不能满足您的要求，请创建新的策略来执行您的安全策略。

以下步骤说明如何通过“对象”页面配置全局策略。在编辑 VPN 连接时，您还可以点击 IKE 策略设置的编辑，来启用、禁用和创建策略。

过程

步骤 1

从目录中选择对象，然后选择 IKE 策略。

IKEv1 和 IKEv2 的策略显示在不同列表中。

步骤 2

为每个 IKE 版本启用您希望允许的 IKE 策略。

在对象表上方选择 IKEv1 或 IKEv2，以显示该版本的策略。
点击状态开关以启用适当的对象并禁用不符合要求的对象。
如果您的一些安全要求没有反映在现有对象中，请定义新的对象以实施您的要求。有关详情，请参阅以下主题：
- 配置 IKEv1 策略
- 配置 IKEv2 策略
验证相对优先级是否符合您的要求。

如果您需要更改策略的优先级，请进行编辑。如果策略为预定义的系统策略，则需要创建您自己的策略版本来更改优先级。

优先级是相对的，而非绝对的。例如，优先级 80 高于 160。如果 80 是您启用的最高优先级对象，则它将成为您的首选策略。但如果您随后启用了优先级为 25 的策略，那它将成为您的首选策略。
如果同时使用两个 IKE 版本，使用另一个版本时，请重复相同的过程。

配置 IKEv1 策略

互联网密钥交换 (IKE) 版本 1 策略对象包含定义 VPN 连接时 IKEv1 策略所需的参数。IKE 是一种密钥管理协议，有助于管理基于 IPsec 的通信。它用于对 IPsec 对等体进行身份验证，协商和分发 IPsec 加密密钥以及自动建立 IPsec 安全关联 (SA)。

预定义 IKEv1 策略有多个。如果哪个符合您的需求，只需点击状态旋钮便可启用它们。您还可以创建新策略来实施其他安全设置组合。但您无法编辑或删除系统定义的对象。

以下程序介绍了如何通过“对象”页面直接创建和编辑对象。另外，您还可以在 VPN 连接中编辑 IKEv1 设置时，点击对象列表中所示的创建新 IKE 策略链接来创建 IKEv1 策略对象。

过程

步骤 1	从目录中选择对象，然后选择 IKE 策略。
步骤 2	选择对象表上方的 IKEv1，以显示 IKEv1 策略。
步骤 3	如果任何系统定义的策略符合您的要求，请点击状态旋钮以启用它们。也可使用状态开关禁用不需要的策略。相对优先级确定首先尝试这些策略中的哪一个，数字越小优先级越高。
步骤 4	执行以下操作之一：要创建对象，请点击 + 按钮。要编辑对象，请点击该对象的编辑图标 ()。要删除未引用的对象，请点击该对象的垃圾桶图标 ()。
步骤 5	配置 IKEv1 属性。优先级 - IKE 策略的相对优先级，从 1 到 65,535。当尝试查找常见安全关联 (SA) 时，优先级可确定两个协商对等体比较的 IKE 策略顺序。如果远程 IPsec 对等体不支持在您的最高优先级策略中选定的参数，它会尝试使用下一个优先级中定义的参数。数值越低，优先级越高。名称 - 对象的名称，最多 128 个字符。状态 - IKE 策略是启用还是禁用状态。点击开关以更改状态。在 IKE 协商期间仅使用启用的策略。身份验证 - 在两个对等体之间使用的身份验证方法。预共享密钥 - 使用在每个设备上定义的预共享密钥。在身份验证阶段，此类密钥允许密钥在两个对等体之间共享并由 IKE 使用。如果未使用同一预共享密钥配置对等体，则无法建立 IKE SA。加密 - 用于建立第 1 阶段安全关联 (SA)（用于保护第 2 阶段协商）的加密算法。有关选项的说明，请查看决定使用哪个加密算法。 Diffie-Hellman 组 - 用于在两个 IPsec 对等体之间派生共享密钥而不将其相互传输的 Diffie-Hellman 组。模数更大则安全性越高，但需要更多的处理时间。两个对等体必须具有匹配的模数组。有关选项的说明，请查看决定要使用的 Diffie-Hellman 模数组。散列 - 用于创建消息摘要的散列算法，以确保消息的完整性。有关选项的说明，请查看决定使用哪些散列算法。使用时间 - 安全关联 (SA) 的生命周期（以秒为单位）范围为 120 到 2147483647，也可以将其留空。当超过生命周期时，SA 到期且必须在两个对等体之间重新协商。通常，生命周期越短（某种程度上），IKE 协商越安全。但是，生命周期越长，将来设置 IPsec 安全关联的速度比生命周期较短时更快。默认值为 86400。要指定无限生命周期，请不要输入任何值（将此字段留空）。
步骤 6	点击 OK，保存更改。

配置 IKEv2 策略

互联网密钥交换 (IKE) 版本 2 策略对象包含定义 VPN 连接时 IKEv2 策略所需的参数。IKE 是一种密钥管理协议，有助于管理基于 IPsec 的通信。它用于对 IPsec 对等体进行身份验证，协商和分发 IPsec 加密密钥以及自动建立 IPsec 安全关联 (SA)。

预定义的 IKEv2 策略有多个。如果哪个符合您的需求，只需点击状态旋钮便可启用它们。您还可以创建新策略来实施其他安全设置组合。但您无法编辑或删除系统定义的对象。

以下程序介绍了如何通过“对象”页面直接创建和编辑对象。另外，您还可以在编辑 VPN 连接中的 IKEv2 设置时，点击对象列表中所示的创建新 IKE 策略链接来创建 IKEv2 策略。

过程

步骤 1	从目录中选择对象，然后选择 IKE 策略。
步骤 2	选择对象表上方的 IKEv2 以显示 IKEv2 策略。
步骤 3	如果任何系统定义的策略符合您的要求，请点击状态旋钮以启用它们。也可使用状态开关禁用不需要的策略。相对优先级确定首先尝试这些策略中的哪一个，数字越小优先级越高。
步骤 4	执行以下操作之一：要创建对象，请点击 + 按钮。要编辑对象，请点击该对象的编辑图标 ()。要删除未引用的对象，请点击该对象的垃圾桶图标 ()。
步骤 5	配置 IKEv2 属性。优先级 - IKE 策略的相对优先级，从 1 到 65,535。当尝试查找常见安全关联 (SA) 时，优先级可确定两个协商对等体比较的 IKE 策略顺序。如果远程 IPsec 对等体不支持在您的最高优先级策略中选定的参数，它会尝试使用下一个优先级中定义的参数。数值越低，优先级越高。名称 - 对象的名称，最多 128 个字符。状态 - IKE 策略是启用还是禁用状态。点击开关以更改状态。在 IKE 协商期间仅使用启用的策略。加密 - 用于建立第 1 阶段安全关联 (SA)（用于保护第 2 阶段协商）的加密算法。选择要允许的所有算法，但不能在同一策略中同时包括混合模式 (AES-GCM) 和正常模式选项。（正常模式要求选择完整性散列，而混合模式禁止选择单独的完整性散列。) 系统与对等体协商，从最强算法到最弱算法，直到达成匹配。有关选项的说明，请查看决定使用哪个加密算法。 Diffie-Hellman 组 - 用于在两个 IPsec 对等体之间派生共享密钥而不将其相互传输的 Diffie-Hellman 组。模数更大则安全性越高，但需要更多的处理时间。两个对等体必须具有匹配的模数组。选择要允许的所有算法。系统与对等体协商，从最强到最弱组，直到达成匹配。有关选项的说明，请查看决定要使用的 Diffie-Hellman 模数组。完整性散列 - 用于创建消息摘要的散列算法的完整性部分，用于确保消息完整性。选择要允许的所有算法。系统与对等体协商，从最强算法到最弱算法，直到达成匹配。完整性散列不与 AES-GCM 加密选项一起使用。有关选项的说明，请查看决定使用哪些散列算法。伪随机函数 (PRF) 散列 - 散列算法中用作派生 IKEv2 隧道加密所要求的密钥内容和散列运算的算法的伪随机函数 (PRF) 部分。在 IKEv1 中，完整性和 PRF 算法不分开，但在 IKEv2 中，可以为这些元素指定不同的算法。选择要允许的所有算法。系统与对等体协商，从最强算法到最弱算法，直到达成匹配。有关选项的说明，请查看决定使用哪些散列算法。使用时间 - 安全关联 (SA) 的生命周期（以秒为单位）范围为 120 到 2147483647，也可以将其留空。当超过生命周期时，SA 到期且必须在两个对等体之间重新协商。通常，生命周期越短（某种程度上），IKE 协商越安全。但是，生命周期越长，将来设置 IPsec 安全关联的速度比生命周期较短时更快。默认值为 86400。要指定无限生命周期，请不要输入任何值（将此字段留空）。
步骤 6	点击 OK，保存更改。

配置 IPsec 提议

IPsec 是设置 VPN 的最安全方法之一。IPsec 在 IP 数据包级别提供数据加密，提供一种基于标准的强大的安全解决方案。使用 IPsec，数据通过隧道在公共网络上传输。隧道是两个对等体之间安全的逻辑通信路径。进入 IPsec 隧道的流量由称为转换集的安全协议和算法组合保护。在 IPsec 安全关联 (SA) 协商期间，对等体搜索在两个对等体处相同的转换集。

根据 IKE 版本（IKEv1 或 IKEv2），存在不同的 IPsec 方案对象：

当创建 IKEv1 IPsec 提议时，可以选择 IPsec 运行的模式，并定义所需的加密和身份验证类型。您可以为算法选择单一选项。如果要在 VPN 中支持多个组合，请创建和选择多个 IKEv1 IPsec 提议对象。
当创建 IKEv2 IPsec 提议时，可以选择 VPN 中允许的所有加密和散列算法。系统将按安全性从高到低的顺序对设置进行排序，并与对等体进行协商，直到找到匹配。利用这种排序，您可以发送单个提议来传达所有允许的组合，而无需像 IKEv1 一样逐一发送每个允许的组合。

IKEv1 和 IKEv2 IPsec 提议都使用封装安全协议 (ESP)。它可以提供身份验证、加密和反重播服务。ESP 为 IP 协议类型 50。

注	我们建议对 IPsec 隧道使用加密和身份验证。

以下主题介绍如何为每个 IKE 版本配置 IPsec 提议。

为 IKEv1 配置 IPsec 提议

使用 IKEv1 IPsec 提议对象配置 IKE 第 2 阶段协商期间使用的 IPsec 提议。IPsec 提议定义在 IPsec 隧道中保护流量的安全协议和算法的组合。

有几个预定义的 IKEv1 IPsec 提议。您也可以创建新的提议，用于实施安全设置的其他组合。但您无法编辑或删除系统定义的对象。

以下程序介绍了如何通过“对象”页面直接创建和编辑对象。此外，也可以在编辑 VPN 连接中的 IKEv1 IPsec 设置时，点击对象列表中所示的创建新 IPsec 提议链接来创建 IKEv1 IPsec 提议对象。

过程

步骤 1	选择对象，然后从目录中选择 IPsec 提议。
步骤 2	选择对象表上方的 IKEv1 显示 IKEv1 IPsec 提议。
步骤 3	执行以下操作之一：要创建对象，请点击 + 按钮。要编辑对象，请点击该对象的编辑图标 ()。要删除未引用的对象，请点击该对象的垃圾桶图标 ()。
步骤 4	配置 IKEv1 IPsec 提议属性。名称 - 对象的名称，最多 128 个字符。模式 - IPSec 隧道的运行模式。隧道模式封装整个 IP 数据包。IPSec 报头被添加到原始 IP 报头和新的 IP 报头之间。这是默认值。当防火墙对出入位于防火墙后的主机的流量进行保护时，请使用隧道模式。在通过不可信网络（例如互联网）连接的两个防火墙（或其他安全网关）之间，通常采用隧道模式实施常规 IPSec。传输模式只封装 IP 数据包的上层协议。IPSec 报头被插入到 IP 报头和上层协议报头（例如 TCP）之间。传输模式要求源和目的主机都支持 IPSec，并且只有在隧道的目的对等体是 IP 数据包的最终目的时才可使用。通常只有在保护第 2 层或第 3 层隧道协议（例如 GRE、L2TP 和 DLSW）时，才会使用传输模式。 ESP 加密 - 此提议的封装安全协议 (ESP) 加密算法。有关选项的说明，请查看决定使用哪个加密算法。 ESP 散列 - 要用于身份验证的散列或完整性算法。有关选项的说明，请查看决定使用哪些散列算法。
步骤 5	点击 OK，保存更改。

为 IKEv2 配置 IPsec 提议

使用 IKEv2 IPsec 提议对象配置 IKE 第 2 阶段协商期间使用的 IPsec 提议。IPsec 提议定义在 IPsec 隧道中保护流量的安全协议和算法的组合。

有几个预定义的 IKEv2 IPsec 提议。您也可以创建新的提议，用于实施安全设置的其他组合。但您无法编辑或删除系统定义的对象。

以下程序介绍了如何通过“对象”页面直接创建和编辑对象。此外，也可以在编辑 VPN 连接中的 IKEv2 IPsec 设置时，点击对象列表中所示的创建新 IPsec 提议链接来创建 IKEv2 IPsec 提议对象。

过程

步骤 1

选择对象，然后从目录中选择 IPsec 提议。

步骤 2

选择对象表上方的 IKEv2 显示 IKEv2 IPsec 提议。

步骤 3

执行以下操作之一：

要创建对象，请点击 + 按钮。
要编辑对象，请点击该对象的编辑图标 ()。

要删除未引用的对象，请点击该对象的垃圾桶图标 ()。

步骤 4

配置 IKEv2 IPsec 提议属性。

名称 - 对象的名称，最多 128 个字符。
加密 - 此提议的封装安全协议 (ESP) 加密算法。选择要允许的所有算法。系统与对等体协商，从最强算法到最弱算法，直到达成匹配。有关选项的说明，请查看决定使用哪个加密算法。

完整性散列 - 要用于身份验证的散列或完整性算法。选择要允许的所有算法。系统与对等体协商，从最强算法到最弱算法，直到达成匹配。有关选项的说明，请查看决定使用哪些散列算法。

注	如果选择其中一个 AES-GCM/GMAC 选项作为加密算法，则应该选择空完整性算法。即使您选择非空选项，这些加密标准也不会使用完整性散列算法。

步骤 5

点击 OK，保存更改。

验证站点间 VPN 连接

在配置站点间 VPN 连接并将该配置部署到设备后，请确认系统是否与远程设备建立了安全关联。

如果无法建立连接，请在设备 CLI 中使用 ping interface interface_name remote_ip_address 命令，以确保路径通过 VPN 接口连接到远程设备。如果没有连接通过配置的接口，可停用 interface interface_name 关键字并确定连接是否通过其他接口。您可能选错了用于连接的接口：必须选择面对远程设备的接口，而不是面对受保护网络的接口。

如果存在网络路径，请检查两个终端配置和支持的 IKE 版本和密钥，并根据需要调整 VPN 连接。确保没有访问控制规则或 NAT 规则会阻止连接。

过程

步骤 1

登录到设备 CLI，如登录命令行界面 (CLI)中所述。

步骤 2

使用 show ipsec sa 命令可确认是否建立了 IPsec 安全关联。

您应可看到设备（本地地址）与远程对等体 (current_peer) 之间建立了 VPN 连接。随着您通过该连接发送流量，数据包 (pkts) 计数应会而增加。访问列表应显示该连接的本地和远程网络。

例如，以下输出显示 IKEv2 连接。


> show ipsec sa 
interface: site-a-outside
    Crypto map tag: s2sCryptoMap, seq num: 1, local addr: 192.168.2.15

      access-list |s2sAcl|0730e31c-1e5f-11e7-899f-27f6e1030344 
extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: 192.168.4.6


      #pkts encaps: 69, #pkts encrypt: 69, #pkts digest: 69
      #pkts decaps: 69, #pkts decrypt: 69, #pkts verify: 69
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 69, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.2.15/500, remote crypto endpt.: 192.168.4.6/500
      path mtu 1500, ipsec overhead 55(36), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: CD22739C
      current inbound spi : 52D2F1E4

    inbound esp sas:
      spi: 0x52D2F1E4 (1389556196)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression 
         in use settings ={L2L, Tunnel, PFS Group 19, IKEv2, }
         slot: 0, conn_id: 62738432, crypto-map: s2sCryptoMap
         sa timing: remaining key lifetime (kB/sec): (4285434/28730)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0xCD22739C (3441587100)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression 
         in use settings ={L2L, Tunnel, PFS Group 19, IKEv2, }
         slot: 0, conn_id: 62738432, crypto-map: s2sCryptoMap
         sa timing: remaining key lifetime (kB/sec): (4055034/28730)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

以下输出显示 IKEv1 连接。


> show ipsec sa 
interface: site-a-outside
    Crypto map tag: s2sCryptoMap, seq num: 1, local addr: 192.168.2.15

      access-list |s2sAcl|0730e31c-1e5f-11e7-899f-27f6e1030344 
extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: 192.168.4.6


      #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10
      #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 10, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.2.15/0, remote crypto endpt.: 192.168.4.6/0
      path mtu 1500, ipsec overhead 74(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: 077D72C9
      current inbound spi : AC146DEC

    inbound esp sas:
      spi: 0xAC146DEC (2887020012)
         SA State: active
         transform: esp-aes-256 esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel, PFS Group 5, IKEv1, }
         slot: 0, conn_id: 143065088, crypto-map: s2sCryptoMap
         sa timing: remaining key lifetime (kB/sec): (3914999/28567)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x000007FF
    outbound esp sas:
      spi: 0x077D72C9 (125661897)
         SA State: active
         transform: esp-aes-256 esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel, PFS Group 5, IKEv1, }
         slot: 0, conn_id: 143065088, crypto-map: s2sCryptoMap
         sa timing: remaining key lifetime (kB/sec): (3914999/28567)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

步骤 3

使用 show isakmp sa 命令可验证 IKE 安全关联。

您可以使用不带 sa 关键字的命令（或改用 stats 关键字）查看 IKE 统计信息。

例如，以下输出显示 IKEv2 安全关联。


> show isakmp sa

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:15317, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local             Remote            Status   Role
592216161 192.168.2.15/500  192.168.4.6/500   READY    INITIATOR
      Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:21, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/12 sec
Child sa: local selector  192.168.1.0/0 - 192.168.1.255/65535
          remote selector 192.168.3.0/0 - 192.168.3.255/65535
          ESP spi in/out: 0x52d2f1e4/0xcd22739c

以下输出显示 IKEv1 安全关联。


> show isakmp sa 

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 192.168.4.6
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 

There are no IKEv2 SAs

监控站点间 VPN

要监控和故障排除站点间 VPN 连接，请打开 CLI 控制台或登录设备 CLI 并使用以下命令。

show ipsec sa 显示 VPN 会话（安全关联）。您可以使用 clear ipsec sa counters 命令重置这些统计信息。
show ipsec keyword 显示的是 IPsec 运行数据和统计信息。输入 show ipsec ? 查看可用关键字。
show isakmp 显示 ISAKMP 运行数据和统计信息。

站点间 VPN 示例

以下是配置站点间 VPN 的示例。

使站点间 VPN 流量豁免 NAT

当您在某个接口上定义了站点间 VPN 连接并且还对该接口实施了 NAT 规则时，可以选择使该 VPN 上的流量豁免 NAT 规则。如果 VPN 连接的远端可以处理您的内部地址，则可能要执行此操作。

创建 VPN 连接时，可以选择 NAT 豁免选项自动创建 NAT 豁免规则。不过，此操作仅在通过单个路由接口（而非桥接组成员）连接本地受保护网络时才奏效。相反，如果该连接中的本地网络位于两个或多个路由接口之后或者一个或多个桥接组成员之后，则需要手动配置 NAT 豁免规则。

要使 VPN 流量豁免 NAT 规则，需要为目的是远程网络时的本地流量创建身份手动 NAT 规则。然后，将 NAT 应用于目的是其他网络（例如互联网）时的流量。如果本地网络有多个接口，请为每个接口分别创建规则。也可以考虑以下建议：

如果连接中有多个本地网络，请创建一个网络对象组用于容纳定义这些网络的对象。
如果 VPN 中同时包括 IPv4 和 IPv6 网络，请为其各创建一个单独的身份 NAT 规则。

下例显示连接博尔德办公室和圣荷西办公室的站点间隧道。对于要发送到互联网的流量（例如，从博尔德办公室中的 10.1.1.6 到 www.example.com），需要利用 NAT 提供的公用 IP 地址访问互联网。以下示例使用接口 PAT 规则。然而，对于要穿过 VPN 隧道的流量（例如，从博尔德办公室中的 10.1.1.6 到圣荷西办公室中的 10.2.2.78），您不想执行 NAT；您需要通过创建身份 NAT 规则来豁免此流量。身份 NAT 只能将地址转换为其相同的地址。

以下示例说明 Firewall1（博尔德办公室）的配置。该示例假定内部接口是桥接组，因此需要为每个成员接口编写规则。如果有一个或多个路由内部接口，其过程相同。

注	此示例假定只包括 IPv4 网络。如果该 VPN 还包括 IPv6 网络，请为 IPv6 创建并行规则。请注意，由于无法实施 IPv6 接口 PAT，因此需要使用唯一 IPv6 地址创建主机对象用于 PAT。

过程

步骤 1

创建对象来定义各种网络。

选择对象 (Objects)。
从目录中选择网络，然后点击 +。
找到博尔德办公室内部网络。

为网络对象命名（例如，boulder-network），选择网络，然后输入网络地址 10.1.1.0/24。
点击确定。
点击 + 并定义内部圣荷西办公室网络。

为网络对象命名（例如，sanjose-network），选择网络，然后输入网络地址 10.2.2.0/24。
点击确定。

步骤 2

在 Firewall1（博尔德办公室）上，为博尔德办公室网络配置经过 VPN 连接到圣荷西办公室时的手动身份 NAT。

依次选择策略 > NAT。
点击 + 按钮。

配置以下属性：

标题 = NAT Exempt 1_2 Boulder San Jose VPN（或您选择的其他名称）。
创建规则的对象 = 手动 NAT。
位置 = 特定规则之上，然后在“手动 NAT 在自动 NAT 之前”部分选择第一条规则。需要确保此规则在目的接口的任何常规接口 PAT 规则之前。否则，该规则可能不会应用于正确的流量。
类型 = 静态。
源接口 = inside1_2。
目的接口 = 外部。
原始源地址 = boulder-network 网络对象。
转换后的源地址 = boulder-network 网络对象。
原始目标地址 = sanjose-network 网络对象。

转换后的目标地址 = sanjose-network 网络对象。

注	由于您不需要转换目的地址，因此需要通过为原始目的地址和转换后的目的地址指定相同的地址，从而为其配置身份 NAT。将所有端口字段留空。此规则为源和目的配置身份 NAT。

在高级选项卡中，选择不在目的接口上使用代理 ARP。
点击确定。
重复此过程，为每个其他内部接口创建相应规则。

步骤 3

在 Firewall1（博尔德办公室）上，为内部博尔德办公室网络配置接入互联网时的手动动态接口 PAT。

注	内部接口可能已经配置了将所有 IPv4 流量包括在内的动态接口 PAT 规则，因为初始配置过程中会默认创建这些规则。不过，为完整起见，此处仍显示了这些配置。完成这些步骤之前，请检查是否已经存在将内部接口和网络包括在内的规则，如有则跳过此步骤。

点击 + 按钮。
配置以下属性：
- 标题 = inside1_2 接口 PAT（或您选择的其他名称）。
- 创建规则的对象 = 手动 NAT。
- 位置 = 特定规则之下，然后在“手动 NAT 在自动 NAT 之前”部分选择您在上面为此接口创建的规则。由于此规则将应用于所有目标地址，使用 sanjose-network 作为目标的规则必须在此规则之前，否则 sanjose-network 规则永远没有匹配项。默认设置是将新的手动 NAT 规则放到“NAT 规则在自动 NAT 之前”部分的末尾，此设置也已足够。
- 类型 = 动态。
- 源接口 = inside1_2。
- 目的接口 = 外部。
- 原始源地址 = boulder-network 网络对象。
- 转换后的源地址 = 接口。此选项配置使用目的接口的接口 PAT。
- 原始目标地址 = 任意。
- 转换后的目标地址 = 任意。
点击确定。
重复此过程，为每个其他内部接口创建相应规则。

步骤 4

确认您的更改。

点击网页右上角的部署更改图标。
点击立即部署按钮。

您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 5

如果您也管理着 Firewall2（圣荷西办公室），您可以为该设备配置类似的规则。

当目的是 boulder-network 时，手动身份 NAT 规则将用于 sanjose-network。为 Firewall2 内部和外部网络创建新的接口对象。
当目的是“任意”时，手动动态接口 PAT 规则将用于 sanjose-network。

如何在外部接口上为外部站点间 VPN 用户提供互联网访问（发夹方法）

在站点间 VPN 中，您可能希望远程网络用户通过您的设备访问互联网。不过，这些远程用户进入设备所用的接口与访问互联网所用的接口（外部接口）相同，因此需要使互联网流量从外部接口退出。这种技术有时候称为发夹方法。

下图展示了一个示例。在 198.51.100.1（在主站点上，站点 A）与 203.0.113.1（远程站点，站点 B）之间配置了一个站点间 VPN 隧道。从网络内部的远程站点 192.168.2.0/24 流出的所有用户流量均通过此 VPN 隧道。因此，如果该网络上的用户想要访问互联网上的某个服务器（例如 www.example.com），连接会首先通过此 VPN 隧道，然后从 198.51.100.1 接口路由回到互联网。

以下程序介绍如何配置此服务。首先，需要配置 VPN 隧道的两个终端。

开始之前

此程序假定您使用了允许 VPN 流量的默认设置，使 VPN 流量受访问控制策略的限制。在运行配置中，这由 no sysopt connection permit-vpn 命令表示。如果您通过 FlexConfig中选择为已解密的流量绕过访问控制策略选项启用了 sysopt connection permit-vpn ，则无需执行这些步骤来配置访问控制规则。

过程

步骤 1	（站点 A，主站点。）配置到远程站点 B 的站点间 VPN 连接。点击设备，然后点击站点间 VPN 组中的查看配置。点击 + 添加新连接。按如下所述定义终端，然后点击下一步：连接配置文件名称 - 为连接指定一个有意义的名称，例如 Site-A-to-Site-B。本地 VPN 接入接口 - 选择外部接口。本地网络 - 保留默认值“任何”。远程 IP 地址 - 输入远程对等设备外部接口的 IP 地址。在本示例中，此地址为 203.0.113.1。远程网络 - 点击 +，然后选择定义远程对等设备的受保护网络的网络对象。在本示例中，此对象为 192.168.2.0/24。可以点击创建新网络立即创建对象。下图展示了第一步操作对应的界面。定义隐私配置，然后点击下一步。 IKE 策略 - IKE 设置对发夹方法没有影响。选择满足安全需求的 IKE 版本、策略和提议即可。请记下您输入的本地和远程预共享密钥：配置远程对等设备时会用到这些信息。 NAT 免除 - 选择内部接口。完美前向保密的 Diffie-Hellman 组 - 此设置对发夹方法没有影响。可以根据需要配置此设置。点击完成。连接摘要信息将会复制到剪贴板。您可以将这些信息粘贴到文本文件或其他文档，帮助您配置远程对等设备。
步骤 2	（站点 A，主站点。）将 NAT 规则配置为将外部接口发出的所有连接转换到外部 IP 地址上的端口（接口 PAT）。完成初始设备配置后，系统将创建名为 InsideOutsideNatRule 的 NAT 规则。此规则将接口 PAT 应用于任意接口上通过外部接口流出设备的 IPv4 流量。由于外部接口包含在“任何”源接口中，因此，此规则已经存在，除非您对所需的规则进行编辑或将其删除。以下程序介绍如何创建所需的规则。依次点击策略 > NAT。执行以下操作之一：要编辑 InsideOutsideNatRule，请将鼠标指针悬停在操作列上，然后点击编辑图标 ()。要创建新规则，请点击 +。配置规则的以下属性：名称 - 为新规则输入一个有意义且不含空格的名称。例如，OutsideInterfacePAT。创建规则的对象 - 手动 NAT。位置 - 自动 NAT 规则之前（默认）。类型 - 动态。原始数据包 - 对于源地址，请选择“任何”或 any-ipv4。对于源接口，请确保选择“任何”（默认值）。对于所有其他“原始数据包”选项，请保留默认值“任何”。已转换的数据包 - 对于目标接口，请选择外部接口。对于已转换的地址，请选择接口。对于所有其他“已转换的数据包”选项，请保留默认值“任何”。下图展示了选择“任何”作为源地址时的简单情况。点击确定。
步骤 3	（站点 A，主站点。）配置访问控制规则，以允许访问站点 B 上的受保护网络。仅仅创建 VPN 连接不会自动允许通过 VPN 上的流量。还需要确保您的访问控制策略允许流量通过远程网络。以下程序展示了如何添加远程网络专用的规则。是否需要其他规则取决于您现有的规则。依次点击策略 > 访问控制。点击 + 创建新规则。配置规则的以下属性：顺序 - 在策略中选择一个位置，此位置应位于可能会匹配并阻止这些连接的任何其他规则之前。默认情况下，会将该规则添加到策略的末尾。如果稍后需要重新调整规则的位置，可以编辑此选项，也可以直接将规则拖放到表格中相应的位置。名称 - 输入一个有意义且不含空格的名称。例如，Site-B-Network。操作 - 允许。如果不希望对此流量执行协议违规检测或入侵检测，可以选择“信任”。源/目标选项卡 - 对于目标 > 网络，请选择您在 VPN 连接配置文件中用于远程网络的同一对象。对于所有其他“源”和“目标”选项，请保留默认值“任何”。应用、URL 和用户选项卡 - 保留这些选项卡的默认设置，即不做任何选择。入侵、文件选项卡 -（可选）您可以选择入侵或文件策略，以进行威胁或恶意软件检测。日志记录选项卡 -（可选）您可以选择启用连接日志记录。点击确定。
步骤 4	（站点 A，主站点。）确认您的更改。点击网页右上角的部署更改图标。点击立即部署按钮。您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。如果保持窗口打开，那么成功部署后，窗口中将指示没有待处理的更改。
步骤 5	（站点 B，远程站点。）登录到远程站点设备，并配置到站点 A 的站点间 VPN 连接。借助从站点 A 设备配置获取的连接摘要来配置连接的站点 B 端。点击设备，然后点击站点间 VPN 组中的查看配置。点击 + 添加新连接。按如下所述定义终端，然后点击下一步：连接配置文件名称 - 为连接指定一个有意义的名称，例如，Site-B-to-Site-A。本地 VPN 接入接口 - 选择外部接口。本地网络 - 点击 +，然后选择定义本地受保护网络的网络对象。在本示例中，此对象为 192.168.2.0/24。可以点击创建新网络立即创建对象。远程 IP 地址 - 输入主站点的外部接口的 IP 地址。在本示例中，此地址为 198.51.100.1。远程网络 - 保留默认值“任何”。请忽略警告；此警告与本使用案例无关。下图展示了第一步操作对应的界面。定义隐私配置，然后点击下一步。 IKE 策略 - IKE 设置对发夹方法没有影响。配置与 VPN 连接的站点 A 端相同或兼容的选项。必须正确配置预共享密钥：按照站点 A 设备上的配置交换本地和远程密钥（适用于 IKEv2）。对于 IKEv1，只有一个密钥，此密钥在两个对等设备上必须相同。 NAT 免除 - 选择内部接口。完美前向保密的 Diffie-Hellman 组 - 此设置对发夹方法没有影响。匹配 VPN 连接的站点 A 端使用的设置。点击完成。
步骤 6	（站点 B，远程站点。）删除受保护网络的所有 NAT 规则，以便离开此站点的所有流量都必须流经 VPN 隧道。由于站点 A 设备会执行地址转换，因此无需在此设备上执行 NAT。但还是请根据自己的具体情况具体分析。如果您有多个内部网络，而且不是所有这些网络都参与此 VPN 连接，则请勿删除这些网络所需的 NAT 规则。依次点击策略 > NAT。执行以下操作之一：要删除规则，请将鼠标指针悬停在“操作”列上，然后点击删除图标 ()。要编辑规则，使其不再应用于受保护的网络，请将鼠标指针悬停在“操作”列上，然后点击编辑图标 ()。
步骤 7	（站点 B，远程站点。）配置访问控制规则，以允许从受保护网络访问互联网。以下示例允许受保护网络中的流量通过任何目标。您可以根据自己的具体要求调整此选项。也可以在此规则之前添加阻止规则，过滤掉不必要的流量。还有另外一种方法，就是在站点 A 设备上配置阻止规则。依次点击策略 > 访问控制。点击 + 创建新规则。配置规则的以下属性：顺序 - 在策略中选择一个位置，此位置应位于可能会匹配并阻止这些连接的任何其他规则之前。默认情况下，会将该规则添加到策略的末尾。如果稍后需要重新调整规则的位置，可以编辑此选项，也可以直接将规则拖放到表格中相应的位置。名称 - 输入一个有意义且不含空格的名称。例如，Protected-Network-to-Any。操作 - 允许。如果不希望对此流量执行协议违规检测或入侵检测，可以选择“信任”。源/目标选项卡 - 对于源 > 网络，请选择在 VPN 连接配置文件中用于本地网络的同一对象。对于所有其他“源”和“目标”选项，请保留默认值“任何”。应用、URL 和用户选项卡 - 保留这些选项卡的默认设置，即不做任何选择。入侵、文件选项卡 -（可选）您可以选择入侵或文件策略，以进行威胁或恶意软件检测。日志记录选项卡 -（可选）您可以选择启用连接日志记录。点击确定。
步骤 8	（站点 B，远程站点。）确认您的更改。点击网页右上角的部署更改图标。点击立即部署按钮，并等待部署完成。您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。如果保持窗口打开，那么成功部署后，窗口中将指示没有待处理的更改。