Руководство пользователя cерии P-2602H/HW EE
248 Глава 17 Экраны VPN
Рис. 123 Пример обращения хоста VPN к DNS-серверу в интранете
Если DNS-сервер интранета в удаленной сети не указан, то хост VPN сможет
обращаться к компьютерам удаленной сети только по IP-адресам.
17.9 Тип и содержание идентификатора
В агрессивном режимоме согласования (см. разд. 17.12.1 на стр. 257), P-2602
идентифицирует поступающие SA по типу и содержанию идентификатора, так как эти
идентификационные данные не шифруются. Таким образом P-2602 получает
возможность различать несколько правил для SA, устанавливаемых удаленными
маршрутизаторами IPSec с динамическими IP-адресами в сети WAN . Дистанционные
сотрудники могут использовать отдельные пароли для одновременного подключения к
P-2602 через маршрутизаторы
IPSec с динамическими IP-адресами (пример
конфигурации для дистанционного сотрудника см. в разд. 17.18 на стр. 268).
Независимо от настроенного типа и содержания идентификатора P-2602 не позволяет
сохранять несколько активных правил с перекрывающимися локальными и удаленными
IP-адресами.
В основном режиме (см. разд. 17.12.1 на стр. 257) тип и содержание идентификатора
зашифрованы, что обеспечивает защиту подлинности. При
этом P-2602 может различать
не более 12 типов SA, поступающих от удаленных маршрутизаторов IPSec с
динамическими IP-адресами в сети WAN. Возможность различать 12 типов входящих
SA на P-2602 обусловлена тем, что при настройке правила VPN могут быть выбраны
три разных алгоритма шифрования (DES, 3DES и AES), два алгоритма аутентификации
(MD5 и SHA1) и две группы ключей (DH1 и DH2). См. разд. 17.13 на стр. 258. Тип и
содержание идентификатора играют роль дополнительного уровня идентификации для
поступающих SA.
Тип идентификатора может быть доменным именем, IP-адресом или почтовым адресом.
Содержание – это IP-адрес, доменное имя или почтовый адрес.
Commentaires sur ces manuels