Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

252

Глава 17 Экраны VPN

NAT Traversal Эта функция доступна, если в поле VPN protocol выбран протокол ESP.

Прослеживание NAT позволяет настроить соединение VPN, когда между

P-2602 и удаленным IPSec-маршрутизатором имеются NAT-

маршрутизаторы. На удаленном IPSec-маршрутизаторе также должно быть

разрешено прослеживание NAT, и NAT-маршрутизаторы должны отправлять

пакеты UDP 500 удаленному IPSec-маршрутизатору за NAT-

маршрутизатором.

Name Введите идентификатор данной политики длиной до 32 символов. Можно

использовать любые символы, включая пробелы, но конечные пробелы

отсекаются P-2602.

IPSec Key Mode В раскрывающемся списке выберите IKE или Manual. Рекомендуется

выбрать режим IKE, обеспечивающий повышенную защиту. Режим Manual

(ручной) используется для устранения неисправностей, если возникают

проблемы с использованием режима управления ключами IKE.

Negotiation Mode В раскрывающемся списке выберите Main (основной) или Aggressive

(агрессивный). Несколько SA, соединяющихся через защищённый

межсетевой шлюз, должны иметь одинаковый режим согласования.

Encapsulation

Mode

Выберите режим в раскрывающемся списке: Tunnel (туннельный) или

Transport (транспортный).

DNS Server (for

IPSec VPN)

Если для данной VPN-сети существует частный DNS-сервер, введите его IP-

адрес в этом поле. P-2602 будет назначать этот дополнительный DNS-

сервер DHCP-клиентам P-2602, IP-адреса которых находятся в диапазоне

локальных адресов данного правила.
DNS-сервер позволяет клиентам в сети VPN находить другие компьютеры и

серверы в VPN по их (частным) доменным именам.

Local

Локальные IP-адреса должны быть статическими и соответствовать

настроенным удалённым IP-адресам удалённого IPSec-маршрутизатора.
Две активных SA могут иметь одинаковый локальный или удалённый IP-

адрес, но не оба сразу. Можно настроить несколько SA между одинаковыми

локальными и удалёнными IP-адресами, при условии, что в конкретный

момент времени активным будет только одна.
Несколько правил, в которых поле Secure Gateway Address установлено в

значение 0.0.0.0, могут быть одновременно активны только в том случае,

если ни в одном из них диапазон IP-адресов не пересекается с другими

правилами.
Если настроено активное правило, для которого в поле Secure Gateway

Address указан адрес 0.0.0.0, а полный IP-адрес LAN совпадает с

локальным IP-адресом, то настроить другие активные правила, в которых

Secure Gateway Address = 0.0.0.0, будет невозможно.

Local Address Type В раскрывающемся меню выберите Single (единичный адрес), Range

(диапазон) или Subnet (подсеть). Чтобы задать один IP-адрес, выберите

Single. Чтобы задать определенный диапазон IP-адресов, выберите Range.

Чтобы задать подсеть IP-адресов по маске подсети, выберите Subnet.

IP Address Start Если в поле Local Address Type выбрано значение Single, введите

(статический) IP в вашей сети LAN за устройством P-2602. Если в поле Local

Address Type выбрано Range, введите начальный (статический) IP

диапазона адресов компьютеров в вашей сети LAN за устройством P-2602.

Если в поле Local Address Type выбрано Subnet, введите (статический) IP-

адрес в вашей сети LAN за устройством P-2602.

Таб. 87 Редактирование политик VPN

ПОЛЕ

ОПИСАНИЕ