支持的VPN类型
-
IPSec VPN
- 用于站点到站点(Site-to-Site)或远程接入(Remote Access)的安全通信。
- 支持IKEv1/IKEv2、预共享密钥/证书认证、ESP/AH协议。
- 典型应用:分支机构与总部加密互联。
-
SSL VPN
- 通过浏览器或客户端实现远程安全接入,无需安装专用软件(Web模式)。
- 支持用户认证(如LDAP、RADIUS)、资源细粒度访问控制。
- 典型应用:移动用户访问内网资源。
-
L2TP VPN(通常结合IPSec使用)
提供二层隧道,兼容移动设备原生VPN配置。
配置步骤(以IPSec VPN为例)
-
创建IKE策略
设置加密算法(如AES)、哈希算法(SHA-256)、DH组、SA生命周期等。
-
定义IPSec策略
选择封装模式(隧道/传输)、安全协议(ESP)、加密和认证算法。
-
配置隧道接口
绑定物理接口,设置本地/对端IP、预共享密钥或证书。
-
配置路由
添加静态路由或策略路由,指引流量通过VPN隧道。
-
安全策略放行
允许VPN流量通过防火墙(如UDP 500/IKE、UDP 4500/NAT-T)。
关键注意事项
-
NAT穿透(NAT-T)
若VPN一端位于NAT后,需启用NAT-T功能(UDP 4500端口)。 -
DPD(Dead Peer Detection)
检测对端存活状态,自动重连失效隧道。 -
日志与监控
查看VPN隧道状态(如show ike sa、show ipsec sa),排查连接问题。
故障排查
-
常见问题
- 阶段1/阶段2协商失败:检查算法匹配、密钥、ACL规则。
- 流量不通:验证路由、安全策略、NAT豁免(避免VPN流量被NAT转换)。
-
调试命令
display ike negotiation # 查看IKE协商状态 display ipsec statistics # 检查IPSec流量统计
参考文档
- 天融信官方手册(型号相关,如TopGate、NG Firewall系列)。
- 通过管理界面(Web或命令行)获取具体配置向导。
如需特定型号的详细配置,建议提供更多设备信息或应用场景。



