这篇文章主要介绍怎样在fortigate防火墙与sonicwall防火墙之间建立一条基于策略的ipsec vpn隧道。在这篇文章中，vpn两端的防火墙使用预共享的密钥来互相验证。

一、配置 fortigate
当fortigate防火墙接收到来自远端vpn的连接请求后，它使用ipsec阶段1的参数来建立一个安全的连接，并且验证来自vpn对端的请求。如果，防火墙策略允许这个请求，防火墙使用使用ipsec阶段2的参数建立一条vpn隧道，并应用防火墙指定的加密策略。安全密钥的管理，认证以及安全服务通过ike协议动态协商确定。
要实现这些功能，下面几个基本配置步骤必须在防火墙两端执行。

◆ 定义阶段1的参数，fortigate防火墙需要通过这些参数对远程vpn对端进行验证，并建立一个安全的连接。
◆ 定义阶段2的参数，fortigate防火墙需要通过这些参数与远程vpn对端建立一个vpn隧道。
◆ 创建一条加密策略，以控制允许的服务和允许的源ip和目的ip之间数据的流向。一条单一的加密策略可以同时控制vpn隧道之间流入和流出的所有流量。


1. 定义阶段1的参数
在这个配置中，我们使用一个预共享的密钥来验证网络另一端的sonicwall并建立一条安全的连接，所以相同的密钥必须配置在网络两端的防火墙中。
在配置阶段1前，你需要：

◆ 为vpn对端准备一个名称
◆ 获得远程vpn对端公网接口的ip地址
◆ 为两个fortigate防火墙准备一个唯一的预共享密钥密钥最少需要包含六个可打印字符，并且最好只有管理员一个人知道。为了防止目前的逆向运算破解，最好使用一个最少包含16个字符的随机的数字与字母的组合。

1） 通过浏览器登录到防火墙，选择“虚拟专网－ipsec－阶段1”
2） 点击“新建”按钮，输入下列信息，然后点击“ok”按钮。

网关名称：为对端的fortigate输入一个名称 (例如sonicwall).
远程网关：静态ip地址
ip 地址： 192.168.4.2
模式：主模式 (id 保护)
认证方式：预共享密钥
预共享密钥：输入自定义的预共享密钥
对等体选项：接受任何对等体id
高级：
dh：选择2
加密算法：3des
认证：sha1
密钥周期：28800
阶段2的基本配置参数与阶段1配置中指定的vpn对端相关联建立一个vpn隧道。在配置阶段2的参数前，需要为通道准备一个名称。
定义阶段2的参数：
1） 进入“虚拟专网－ipsec－阶段2”
2） 点击“新建”按钮，输入下列信息，然后点击“ok”按钮。

通道名称：为通道输入一个名称 (例如，sonicwall)
远程网关：选择你刚刚在阶段1里定义的网关 (例如， sonicwall)
高级：选择“高级”按钮：
dh：选择2
加密算法：3des
认证：sha1
密钥周期：28800