设计考虑事项

典型 SSL VPN Tunnel 模式中，远程用户从互联网访问 FortiGate WAN 接口的 TCP/443，认证成功后建立 SSL VPN Tunnel。终端与 FortiGate WAN 接口之间的流量通过 TLS 加密，用户可以访问哪些内部资源由对应用户组的防火墙策略决定。

迁移到拨号 IPSec VPN 后，拓扑通常保持一致。远程用户仍从互联网访问 FortiGate WAN 接口的 TCP/443，但使用 IKEv2 进行 IPSec 接入，并通过所选认证方式完成身份认证。隧道建立后，流量通过 ISAKMP/IPSec 保护，ESP 报文封装在 TCP 头部中。用户访问内部资源的权限仍由用户组对应的防火墙策略控制。

因此，从 SSL VPN 迁移到 IPSec VPN 时，通常不需要改变网络拓扑，也可以继续使用 TCP/443。

重要

通常建议使用 IKEv2，因为 IKEv2 可以使用 TCP/443。

从 FortiClient 7.4.4 开始，客户端不再支持 IKEv1。只有在不需要 IKE over TCP，且不计划部署 FortiClient 7.4.4 及以上版本时，才考虑继续使用 IKEv1。

FortiClient 7.4.4 不支持 IPv6。如需 IPv6，请使用 FortiClient 7.4.6 或更高版本。

• 认证方式
• 多用户组
• 全隧道与分离隧道
• 客户端地址分配
• Split DNS 与 DNS 后缀
• 策略配置
• FortiClient 或终端配置
• 先迁移 VPN 还是先升级？