配置高级站点间设置

在VPN > 站点到站点高级页面，你可以配置全局高级选项，定义设备如何连接到远程站点。

本页的配置选项回答了这些配置问题：

• 何时开启与远程站点的连接 - 参见下面的 "配置本地加密域 安全网关所保护的网络，它为其加密和解密VPN流量。"。此外，远程站点的加密域是按站点配置的。请参阅VPN > 站点到站点的VPN站点页面。

• 设备如何连接到远程站点 - 请参阅下面的 "配置设备的出站接口以使用 VPN"。

配置一个本地加密域

在基于域的VPN中，当流量起源于一个加密域并被传输到另一个域时，就会被加密。

本地加密域的定义：

• 来自远程站点和网络的加密流量的内部网络可以被访问。

• 即从加密域到远程站点的流量是加密的。

默认情况下，本地加密域是由设备自动确定的。局域网接口后面的网络和受信任的无线网络是本地加密域的一部分。如果有必要，你可以选择手动创建一个本地加密域。

要手动配置一个本地加密域：

1. 点击自动根据拓扑结构的链接。

2. 选择手动定义本地网络拓扑结构。

3. 单击"选择"，显示可用网络的完整列表，并选择适用的复选框。

4. 如果现有列表中不包含所需的必要网络，请点击新建。

   关于如何创建一个新的网络对象 代表企业拓扑结构不同部分的逻辑对象--计算机、IP地址、流量协议等。管理员在安全策略中使用这些对象。的信息，请看用户用户和对象对象 > 网络对象页面。

5. 点击应用.

   打开 "站点到站点本地加密域 "窗口，显示你选择的服务。

配置设备的接口

链接选择是用来：

• 指定哪个接口用于传入和传出的VPN流量。

• 确定流量最佳路径。

此外，通过链接选择机制，管理员可以选择哪些源IP地址用于VPN流量。

选择出站接口和源IP地址的默认配置是由设备自动确定。另外，你也可以改变默认设置，选择其他方式来确定：

• 该设备的出站接口

• 该设备的源IP地址

要配置设备的出站接口和VPN的源IP地址：

1. 在链接选择 > 出站接口选择部分，选择一种方法来指定出站接口：

   • 根据路由表--操作系统的路由表根据远程站点的IP地址，具有最低跃点数（优先级最高）的接口链路，通过它发送流量。

   • 基于路由的探测- 这种方法也是查询路由表，寻找具有最低跃点数的链接。但是，在选择一个接口链路来发送流量之前，要检查所有的路由可能性。这是为了确保该链接是活跃的。网关选择具有最低跃点数（最高优先级）的最佳匹配（最高前缀长度）活动路由。当有一个以上的外部接口时，建议使用这种方法。

2. 在源IP地址选择部分，选择一个选项来配置安全网关 一台专门的Check Point服务器，运行Check Point软件，检查流量并为连接的网络资源执行安全策略。在启动或响应VPN流量时使用的源IP地址。这个IP地址通常被远程站点用来连接到这个安全网关：

   • 根据发出的接口自动选择。

   • 手动配置- 输入一个始终作为VPN隧道源IP地址的IP地址。

隧道健康监测

对待检测（DPD）是Check Point安全网关支持的一种额外的保持机制，用于测试VPN隧道是否处于活动状态。DPD使用IPsec流量，以尽量减少确认对等体的可用性所需的信息数量，并需要一个IPsec建立的隧道。DPD机制只基于IKE的加密密钥。

该功能还允许你监控基于DPD的IKEv1和IKEv2的永久隧道。

在活动模式下，如果10秒内没有传入的IPSec流量，被配置为DPD的对等设备 就会定期接收DPD Hello请求。

要测试一个VPN隧道是否处于活动状态：

选择一种隧道健康监测方法

• 隧道测试（Check Point专有）- 只在Check Point网关之间工作。

• DPD（对待检测）

在DPD响应者模式下，Check Point网关向收到DPD Vendor ID的对等体发送IKEv1 Vendor ID，并响应传入的DPD数据包。

要启用DPD应答器模式：

选择复选框。