本地站点的一般建议

在为多站点 IPsec VPN 连接配置本地站点时，请考虑以下建议：

• 对于每个 IKE 阶段，请为以下参数设置至少一个在云站点中配置的值：加密算法、哈希算法和 Diffie-Hellman 组号。

• 使用在 IKE 阶段 2 的云站点中配置的 Diffie-Hellman 组号的至少一个值，启用完全转发保密。

• 为 IKE 阶段 1 和 IKE 阶段 2 配置与云站点相同的生命周期值。

• 不支持使用 NAT 穿越 (NAT-T) 的配置。在本地站点上禁用 NAT-T 配置。否则，无法协商其他 UDP 封装。

• 启动操作配置定义哪一侧发起连接。默认值添加表示本地站点发起连接，而云站点将等待连接发起。如果希望云站点发起连接，则将值更改为启动；如果希望两侧都能够发起连接，则将值更改为路由（适用于支持路由选项的防火墙）。

有关不同解决方案的更多信息和配置示例，请参阅：

• 此系列知识库文章
• 此视频示例