新建/编辑IKE VPN

该页面提供新建/编辑IKE VPN的选项。具体描述如下：

步骤1：对端

对端名称：指定或者显示ISAKMP网关的名称。点击后面的『导入』或者『新建』切换按钮，分别导入系统中已配置的ISAKMP网关名称或者新建ISAKMP网关。

接口：指定ISAKMP网关的绑定接口。从下拉菜单中选择需要的接口。

模式：指定IKE协商模式。选中所需模式的单选按钮。IKE的协商模式有两种：主模式和野蛮模式。主模式为系统的默认模式。IKE野蛮模式不提供身份保护，以下情况只能用野蛮模式：中心设备的IP地址为固定分配的地址，而客户端设备的IP地址为动态获取的地址。

类型：指定对端IP地址的类型。选中所需类型的单选按钮。可以为静态 IP、动态IP或者用户组。

对端IP地址：如果对端IP地址类型为静态时，在该文本框中输入对端的IP地址。

AAA服务器：如果对端IP地址类型为用户组时，从下拉菜单中选中需要的认证服务器名称。

本地ID：指定本地ID。StoneOS支持FQDN、U-FQDN和Asn1dn（仅用于使用证书的情况）类型的ID。选中所需ID类型的单选按钮，然后在其后的文本框中输入ID的具体内容。

对端ID：指定对端ID。StoneOS支持FQDN、U-FQDN和Asn1dn（仅用于使用证书的情况）类型的ID。选中所需ID类型的单选按钮，然后在其后的文本框中输入ID的具体内容。

提议1：为ISAKMP网关指定P1提议。从下拉菜单中选择适当的P1提议。用户最多可以为1个ISAKMP网关指定4个P1提议。

提议2：可选。为ISAKMP网关指定P1提议。从下拉菜单中选择适当的P1提议。

提议3：可选。为ISAKMP网关指定P1提议。从下拉菜单中选择适当的P1提议。

提议4：可选。为ISAKMP网关指定P1提议。从下拉菜单中选择适当的P1提议。

预共享密钥：如果使用预共享密钥认证方式，用户就需要指定预共享密钥。该选项为ISAKMP网关指定预共享密钥。在文本框中输入预共享密钥。

信任域：如果使用数字证书认证方式，用户就需要指定数字证书的PKI信任域。从下拉菜单中选择合适的信任域。

生成用户密钥：点击『生成』按钮，进入生成用户密钥页面，完成相关选项配置，并且点击『生成』按钮生成用户密钥。PnPVPN客户端将使用该密钥作为密码进行登录认证。生成用户密钥页面配置选项说明请参阅生成用户密钥。

高级：点击显示高级配置选项。

连接类型：指定ISAKMP网关的连接类型。选中合适类型的单选按钮。

• 双向 – 指定该ISAKMP网关既是发起端也是响应端。该选项为系统的默认选项。
• 发起者 – 指定该ISAKMP网关仅是发起端。
• 响应者 – 指定该ISAKMP网关仅是响应端。

NAT穿越：在IPSec或者IKE组建的VPN隧道中，若存在NAT网关设备，且NAT网关设备对VPN数据进行了NAT转换，则必须开启IPSec或者IKE的NAT穿越功能。默认情况下，NAT穿越功能是关闭的。选择<启用>复选框开启NAT穿越功能。

产生路由：配置自动生成路由功能。默认情况下，该功能是关闭的，选择<启用>复选框开启该功能。该功能允许设备自动添加从中心设备到分支机构的路由条目，从而避免了手工配置路由所带来的问题。

对端存活检测（DPD）：配置DPD（安全隧道对端状态探测）功能。默认情况下，该功能是关闭的，选择<启用>复选框开启该功能。该功能开启后，如果接收端长时间收不到对端的报文，便触发DPD查询，主动向对端发送请求报文，对ISAKMP网关是否存在进行检测。

DPD间隔：指定向对端发送DPD查询请求的时间间隔。间隔范围是1到10秒。默认值是1。

DPD重试：指定向对端发送DPD查询请求的次数。向对端发送查询请求后，如果本端在指定的时间间隔内收不到对端的报文，系统会在再次发送查询请求，如此反复，直到完成该参数指定的次数。在指定次数查询完成后如果仍然收不到对端的报文，则判断对端ISAKMP网关已经死掉。查询请求的次数范围是1到10次，默认是3次。

描述：在文本框中为所创建ISAKMP网关输入描述内容。

步骤2：隧道

名称：指定隧道的名称。

模式：指定操作模式。从下拉菜单中选择合适的模式。当前版本支持隧道模式（tunnel）和传输模式（transport）。

提议名称：为隧道指定P2提议。从下拉菜单中选择需要的P2提议。

代理ID：为隧道指定第二阶段ID。分为自动和手工两种。

• 自动 - 自动指定第二阶段ID。
• 手工 - 手动指定第二阶段ID。配置以下各选项：
  本地IP/掩码：指定本地第二阶段ID。
  远程IP/掩码：指定对端第二阶段ID。
  服务：指定服务名称。从下拉菜单中选择需要的服务。

高级：点击显示高级配置选项。

DNS1: 为PnPVPN服务器指定下发给用户端的DNS服务器IP地址。可同时指定1个主DNS服务器和3个备份DNS服务器。在对应文本框中输入DNS服务器IP地址。

DNS2:可选。指定备份DNS服务器IP地址。

DNS3:可选。指定备份DNS服务器IP地址。

DNS4:可选。指定备份DNS服务器IP地址。

WINS1:为PnPVPN服务器指定下发给用户端的WINS服务器IP地址。可同时指定1个主WINS服务器和1个备份WINS服务器。在对应文本框中输入WINS服务器IP地址。

WINS2:可选。指定备份WINS服务器IP地址。

启用空闲时间：配置空闲时间功能。默认情况下，该功能是关闭的，选择<启用>复选框开启该功能。启用该功能后，隧道在无流量状态下能够保持连接状态的最长时间，超出空闲时间后，SA将会被清除。

DF位：指定是否允许转发设备将包进行分片处理。选中所需选项的单选按钮。

• copy – 直接从发包端拷贝IP包的DF选项。该选项为系统默认选项。
• clear – 允许转发设备对包做分片处理。
• set – 不允许转发设备对包做分片处理。
  

防重放：防重放指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。默认情况下，防重放功能是关闭的。选中合适数值的单选按钮。

• 关闭- 关闭防重放功能。该选项为系统的默认值。
• 32 – 指定防重放的窗口为32。
• 64 – 指定防重放的窗口为64。
• 128 – 指定防重放的窗口为128。
• 256 – 指定防重放的窗口为256。
• 512 – 指定防重放的窗口为512。

注意：在网络状况较差时，例如存在严重乱序现象等，请选择较大的窗口。

响应者设置Commit位：选中<启用>复选框使相应方设置Commit位，用来防止丢包和出现时间差。但是，设置Commit位可能会使响应速度变慢。

自动连接：配置自动连接功能。默认情况下，该功能是关闭的，选择<启用>复选框开启该功能。安全网关提供两种触发建立SA的方式：自动方式和流量触发方式。自动方式时，设备每60秒检查一次SA的状态，如果SA未建立则自动发起协商请求；流量触发方式时，当有数据流量需要通过隧道进行传输时，该隧道才发起协商请求。默认情况下，系统使用流量触发方式。

注意：自动连接功能仅在对端IP地址为静态类型且本端可以作为发起端时有效。

隧道路由：点击『多个』按钮，进入隧道路由配置页面并完成相关配置，添加一条或多条隧道路由。系统允许最多可设置128条隧道路由。隧道路由配置页面配置选项说明请参阅隧道路由配置。

描述：在文本框中为所创建隧道输入描述内容。

确定：保存当前页面所做配置并且返回主配置页面。

取消：取消当前页面所做配置并且返回主配置页面。