Инструкция по эксплуатации Zyxel P-2602H
Страница 252
Руководство пользователя cерии P-2602H/HW EE
252
Глава 17 Экраны VPN
NAT Traversal Эта функция доступна, если в поле VPN protocol выбран протокол ESP.
Прослеживание NAT позволяет настроить соединение VPN, когда между
P-2602 и удаленным IPSec-маршрутизатором имеются NAT-
маршрутизаторы. На удаленном IPSec-маршрутизаторе также должно быть
разрешено прослеживание NAT, и NAT-маршрутизаторы должны отправлять
пакеты UDP 500 удаленному IPSec-маршрутизатору за NAT-
маршрутизатором.
Name Введите идентификатор данной политики длиной до 32 символов. Можно
использовать любые символы, включая пробелы, но конечные пробелы
отсекаются P-2602.
IPSec Key Mode В раскрывающемся списке выберите IKE или Manual. Рекомендуется
выбрать режим IKE, обеспечивающий повышенную защиту. Режим Manual
(ручной) используется для устранения неисправностей, если возникают
проблемы с использованием режима управления ключами IKE.
Negotiation Mode В раскрывающемся списке выберите Main (основной) или Aggressive
(агрессивный). Несколько SA, соединяющихся через защищённый
межсетевой шлюз, должны иметь одинаковый режим согласования.
Encapsulation
Mode
Выберите режим в раскрывающемся списке: Tunnel (туннельный) или
Transport (транспортный).
DNS Server (for
IPSec VPN)
Если для данной VPN-сети существует частный DNS-сервер, введите его IP-
адрес в этом поле. P-2602 будет назначать этот дополнительный DNS-
сервер DHCP-клиентам P-2602, IP-адреса которых находятся в диапазоне
локальных адресов данного правила.
DNS-сервер позволяет клиентам в сети VPN находить другие компьютеры и
серверы в VPN по их (частным) доменным именам.
Local
Локальные IP-адреса должны быть статическими и соответствовать
настроенным удалённым IP-адресам удалённого IPSec-маршрутизатора.
Две активных SA могут иметь одинаковый локальный или удалённый IP-
адрес, но не оба сразу. Можно настроить несколько SA между одинаковыми
локальными и удалёнными IP-адресами, при условии, что в конкретный
момент времени активным будет только одна.
Несколько правил, в которых поле Secure Gateway Address установлено в
значение 0.0.0.0, могут быть одновременно активны только в том случае,
если ни в одном из них диапазон IP-адресов не пересекается с другими
правилами.
Если настроено активное правило, для которого в поле Secure Gateway
Address указан адрес 0.0.0.0, а полный IP-адрес LAN совпадает с
локальным IP-адресом, то настроить другие активные правила, в которых
Secure Gateway Address = 0.0.0.0, будет невозможно.
Local Address Type В раскрывающемся меню выберите Single (единичный адрес), Range
(диапазон) или Subnet (подсеть). Чтобы задать один IP-адрес, выберите
Single. Чтобы задать определенный диапазон IP-адресов, выберите Range.
Чтобы задать подсеть IP-адресов по маске подсети, выберите Subnet.
IP Address Start Если в поле Local Address Type выбрано значение Single, введите
(статический) IP в вашей сети LAN за устройством P-2602. Если в поле Local
Address Type выбрано Range, введите начальный (статический) IP
диапазона адресов компьютеров в вашей сети LAN за устройством P-2602.
Если в поле Local Address Type выбрано Subnet, введите (статический) IP-
адрес в вашей сети LAN за устройством P-2602.
Таб. 87 Редактирование политик VPN
ПОЛЕ
ОПИСАНИЕ