华为乾坤
华为乾坤

    本产品内“”的所有结果

    计算
    弹性云服务器 ECS
    Flexus云服务
    裸金属服务器 BMS
    云手机服务器 CPH
    专属主机 DeH
    弹性伸缩 AS
    镜像服务 IMS
    函数工作流 FunctionGraph
    云耀云服务器(旧版)
    VR云渲游平台 CVR
    Huawei Cloud EulerOS
    云化数据中心 CloudDC
    CDN与智能边缘
    内容分发网络 CDN
    智能边缘云 IEC
    智能边缘平台 IEF
    CloudPond云服务
    大数据
    MapReduce服务 MRS
    数据湖探索 DLI
    表格存储服务 CloudTable
    可信智能计算服务 TICS
    推荐系统 RES
    云搜索服务 CSS
    数据可视化 DLV
    数据接入服务 DIS
    数据仓库服务 GaussDB(DWS)
    数据治理中心 DataArts Studio
    湖仓构建 LakeFormation
    智能数据洞察 DataArts Insight
    开天aPaaS
    应用平台 AppStage
    开天企业工作台 MSSE
    开天集成工作台 MSSI
    API中心 API Hub
    云消息服务 KooMessage
    交换数据空间 EDS
    云地图服务 KooMap
    云手机服务 KooPhone
    组织成员账号 OrgID
    云空间服务 KooDrive
    区块链
    区块链服务 BCS
    数字资产链 DAC
    华为云区块链引擎服务 HBS
    价格
    成本优化最佳实践
    专属云商业逻辑
    其他
    管理控制台
    消息中心
    产品价格详情
    系统权限
    客户关联华为云合作伙伴须知
    公共问题
    宽限期保留期
    奖励推广计划
    活动
    云服务信任体系能力说明
    存储
    对象存储服务 OBS
    云硬盘 EVS
    云备份 CBR
    高性能弹性文件服务 SFS Turbo
    弹性文件服务 SFS
    存储容灾服务 SDRS
    云硬盘备份 VBS
    云服务器备份 CSBS
    数据快递服务 DES
    云存储网关 CSG
    专属分布式存储服务 DSS
    数据工坊 DWR
    地图数据 MapDS
    键值存储服务 KVS
    数据库
    云数据库 RDS
    数据复制服务 DRS
    文档数据库服务 DDS
    分布式数据库中间件 DDM
    云数据库 GaussDB
    云数据库 GeminiDB
    数据管理服务 DAS
    数据库和应用迁移 UGO
    云数据库 TaurusDB
    IoT物联网
    设备接入 IoTDA
    全球SIM联接 GSL
    IoT数据分析 IoTA
    路网数字化服务 DRIS
    IoT边缘 IoTEdge
    设备发放 IoTDP
    视频
    实时音视频 SparkRTC
    视频直播 Live
    视频点播 VOD
    媒体处理 MPC
    视频接入服务 VIS
    数字内容生产线 MetaStudio
    专属云
    专属计算集群 DCC
    云化转型
    云架构中心
    云采用框架
    工业软件
    工业数字模型驱动引擎
    硬件开发工具链平台云服务
    工业数据转换引擎云服务
    网络
    虚拟私有云 VPC
    弹性公网IP EIP
    弹性负载均衡 ELB
    NAT网关 NAT
    云专线 DC
    虚拟专用网络 VPN
    云连接 CC
    VPC终端节点 VPCEP
    企业路由器 ER
    企业交换机 ESW
    全球加速 GA
    企业连接 EC
    云原生应用网络 ANC
    安全与合规
    安全技术与应用
    Web应用防火墙 WAF
    企业主机安全 HSS
    云防火墙 CFW
    安全云脑 SecMaster
    DDoS防护 AAD
    数据加密服务 DEW
    数据库安全服务 DBSS
    云堡垒机 CBH
    数据安全中心 DSC
    云证书管理服务 CCM
    认证测试中心 CTC
    边缘安全 EdgeSec
    应用中间件
    微服务引擎 CSE
    分布式消息服务Kafka版
    分布式消息服务RabbitMQ版
    分布式消息服务RocketMQ版
    API网关 APIG
    分布式缓存服务 DCS
    多活高可用服务 MAS
    事件网格 EG
    管理与监管
    统一身份认证服务 IAM
    消息通知服务 SMN
    云监控服务 CES
    应用运维管理 AOM
    应用性能管理 APM
    云日志服务 LTS
    云审计服务 CTS
    标签管理服务 TMS
    配置审计 Config
    应用身份管理服务 OneAccess
    资源访问管理 RAM
    组织 Organizations
    资源编排服务 RFS
    优化顾问 OA
    IAM 身份中心
    云运维中心 COC
    资源治理中心 RGC
    解决方案
    高性能计算 HPC
    SAP
    混合云灾备
    开天工业工作台 MIW
    Haydn解决方案工厂
    数字化诊断治理专家服务
    云生态
    云商店
    合作伙伴中心
    华为云开发者学堂
    华为云慧通差旅
    开发与运维
    软件开发生产线 CodeArts
    需求管理 CodeArts Req
    流水线 CodeArts Pipeline
    代码检查 CodeArts Check
    编译构建 CodeArts Build
    部署 CodeArts Deploy
    测试计划 CodeArts TestPlan
    制品仓库 CodeArts Artifact
    移动应用测试 MobileAPPTest
    CodeArts IDE Online
    开源镜像站 Mirrors
    性能测试 CodeArts PerfTest
    应用管理与运维平台 ServiceStage
    云应用引擎 CAE
    开源治理服务 CodeArts Governance
    华为云Astro轻应用
    CodeArts IDE
    Astro工作流 AstroFlow
    代码托管 CodeArts Repo
    漏洞管理服务 CodeArts Inspector
    联接 CodeArtsLink
    软件建模 CodeArts Modeling
    Astro企业应用 AstroPro
    CodeArts 盘古助手
    华为云Astro大屏应用
    容器
    云容器引擎 CCE
    云容器实例 CCI
    容器镜像服务 SWR
    云原生服务中心 OSC
    应用服务网格 ASM
    华为云UCS
    人工智能
    AI开发平台ModelArts
    华为HiLens
    图引擎服务 GES
    图像识别 Image
    文字识别 OCR
    自然语言处理 NLP
    内容审核 Moderation
    图像搜索 ImageSearch
    医疗智能体 EIHealth
    企业级AI应用开发专业套件 ModelArts Pro
    人脸识别服务 FRS
    对话机器人服务 CBS
    语音交互服务 SIS
    人证核身服务 IVS
    视频智能分析服务 VIAS
    城市智能体
    自动驾驶云服务 Octopus
    盘古大模型 PanguLargeModels
    企业应用
    域名注册服务 Domains
    云解析服务 DNS
    企业门户 EWP
    ICP备案
    商标注册
    华为云WeLink
    华为云会议 Meeting
    隐私保护通话 PrivateNumber
    语音通话 VoiceCall
    消息&短信 MSGSMS
    云管理网络
    SD-WAN 云服务
    边缘数据中心管理 EDCM
    云桌面 Workspace
    应用与数据集成平台 ROMA Connect
    ROMA资产中心 ROMA Exchange
    API全生命周期管理 ROMA API
    政企自服务管理 ESM
    迁移
    主机迁移服务 SMS
    对象存储迁移服务 OMS
    云数据迁移 CDM
    迁移中心 MGC
    开发者工具
    SDK开发指南
    API签名指南
    DevStar
    华为云命令行工具服务 KooCLI
    Huawei Cloud Toolkit
    CodeArts API
    用户服务
    账号中心
    费用中心
    成本中心
    资源中心
    企业管理
    工单管理
    客户运营能力
    国际站常见问题
    支持计划
    专业服务
    合作伙伴支持计划
    我的凭证
    华为云公共事业服务云平台
    计算
    弹性云服务器 ECS
    Flexus云服务
    裸金属服务器 BMS
    云手机服务器 CPH
    专属主机 DeH
    弹性伸缩 AS
    镜像服务 IMS
    函数工作流 FunctionGraph
    云耀云服务器(旧版)
    VR云渲游平台 CVR
    Huawei Cloud EulerOS
    云化数据中心 CloudDC
    网络
    虚拟私有云 VPC
    弹性公网IP EIP
    弹性负载均衡 ELB
    NAT网关 NAT
    云专线 DC
    虚拟专用网络 VPN
    云连接 CC
    VPC终端节点 VPCEP
    企业路由器 ER
    企业交换机 ESW
    全球加速 GA
    企业连接 EC
    云原生应用网络 ANC
    CDN与智能边缘
    内容分发网络 CDN
    智能边缘云 IEC
    智能边缘平台 IEF
    CloudPond云服务
    安全与合规
    安全技术与应用
    Web应用防火墙 WAF
    企业主机安全 HSS
    云防火墙 CFW
    安全云脑 SecMaster
    DDoS防护 AAD
    数据加密服务 DEW
    数据库安全服务 DBSS
    云堡垒机 CBH
    数据安全中心 DSC
    云证书管理服务 CCM
    认证测试中心 CTC
    边缘安全 EdgeSec
    大数据
    MapReduce服务 MRS
    数据湖探索 DLI
    表格存储服务 CloudTable
    可信智能计算服务 TICS
    推荐系统 RES
    云搜索服务 CSS
    数据可视化 DLV
    数据接入服务 DIS
    数据仓库服务 GaussDB(DWS)
    数据治理中心 DataArts Studio
    湖仓构建 LakeFormation
    智能数据洞察 DataArts Insight
    应用中间件
    微服务引擎 CSE
    分布式消息服务Kafka版
    分布式消息服务RabbitMQ版
    分布式消息服务RocketMQ版
    API网关 APIG
    分布式缓存服务 DCS
    多活高可用服务 MAS
    事件网格 EG
    开天aPaaS
    应用平台 AppStage
    开天企业工作台 MSSE
    开天集成工作台 MSSI
    API中心 API Hub
    云消息服务 KooMessage
    交换数据空间 EDS
    云地图服务 KooMap
    云手机服务 KooPhone
    组织成员账号 OrgID
    云空间服务 KooDrive
    管理与监管
    统一身份认证服务 IAM
    消息通知服务 SMN
    云监控服务 CES
    应用运维管理 AOM
    应用性能管理 APM
    云日志服务 LTS
    云审计服务 CTS
    标签管理服务 TMS
    配置审计 Config
    应用身份管理服务 OneAccess
    资源访问管理 RAM
    组织 Organizations
    资源编排服务 RFS
    优化顾问 OA
    IAM 身份中心
    云运维中心 COC
    资源治理中心 RGC
    区块链
    区块链服务 BCS
    数字资产链 DAC
    华为云区块链引擎服务 HBS
    解决方案
    高性能计算 HPC
    SAP
    混合云灾备
    开天工业工作台 MIW
    Haydn解决方案工厂
    数字化诊断治理专家服务
    价格
    成本优化最佳实践
    专属云商业逻辑
    云生态
    云商店
    合作伙伴中心
    华为云开发者学堂
    华为云慧通差旅
    其他
    管理控制台
    消息中心
    产品价格详情
    系统权限
    客户关联华为云合作伙伴须知
    公共问题
    宽限期保留期
    奖励推广计划
    活动
    云服务信任体系能力说明
    开发与运维
    软件开发生产线 CodeArts
    需求管理 CodeArts Req
    流水线 CodeArts Pipeline
    代码检查 CodeArts Check
    编译构建 CodeArts Build
    部署 CodeArts Deploy
    测试计划 CodeArts TestPlan
    制品仓库 CodeArts Artifact
    移动应用测试 MobileAPPTest
    CodeArts IDE Online
    开源镜像站 Mirrors
    性能测试 CodeArts PerfTest
    应用管理与运维平台 ServiceStage
    云应用引擎 CAE
    开源治理服务 CodeArts Governance
    华为云Astro轻应用
    CodeArts IDE
    Astro工作流 AstroFlow
    代码托管 CodeArts Repo
    漏洞管理服务 CodeArts Inspector
    联接 CodeArtsLink
    软件建模 CodeArts Modeling
    Astro企业应用 AstroPro
    CodeArts 盘古助手
    华为云Astro大屏应用
    存储
    对象存储服务 OBS
    云硬盘 EVS
    云备份 CBR
    高性能弹性文件服务 SFS Turbo
    弹性文件服务 SFS
    存储容灾服务 SDRS
    云硬盘备份 VBS
    云服务器备份 CSBS
    数据快递服务 DES
    云存储网关 CSG
    专属分布式存储服务 DSS
    数据工坊 DWR
    地图数据 MapDS
    键值存储服务 KVS
    容器
    云容器引擎 CCE
    云容器实例 CCI
    容器镜像服务 SWR
    云原生服务中心 OSC
    应用服务网格 ASM
    华为云UCS
    数据库
    云数据库 RDS
    数据复制服务 DRS
    文档数据库服务 DDS
    分布式数据库中间件 DDM
    云数据库 GaussDB
    云数据库 GeminiDB
    数据管理服务 DAS
    数据库和应用迁移 UGO
    云数据库 TaurusDB
    人工智能
    AI开发平台ModelArts
    华为HiLens
    图引擎服务 GES
    图像识别 Image
    文字识别 OCR
    自然语言处理 NLP
    内容审核 Moderation
    图像搜索 ImageSearch
    医疗智能体 EIHealth
    企业级AI应用开发专业套件 ModelArts Pro
    人脸识别服务 FRS
    对话机器人服务 CBS
    语音交互服务 SIS
    人证核身服务 IVS
    视频智能分析服务 VIAS
    城市智能体
    自动驾驶云服务 Octopus
    盘古大模型 PanguLargeModels
    IoT物联网
    设备接入 IoTDA
    全球SIM联接 GSL
    IoT数据分析 IoTA
    路网数字化服务 DRIS
    IoT边缘 IoTEdge
    设备发放 IoTDP
    企业应用
    域名注册服务 Domains
    云解析服务 DNS
    企业门户 EWP
    ICP备案
    商标注册
    华为云WeLink
    华为云会议 Meeting
    隐私保护通话 PrivateNumber
    语音通话 VoiceCall
    消息&短信 MSGSMS
    云管理网络
    SD-WAN 云服务
    边缘数据中心管理 EDCM
    云桌面 Workspace
    应用与数据集成平台 ROMA Connect
    ROMA资产中心 ROMA Exchange
    API全生命周期管理 ROMA API
    政企自服务管理 ESM
    视频
    实时音视频 SparkRTC
    视频直播 Live
    视频点播 VOD
    媒体处理 MPC
    视频接入服务 VIS
    数字内容生产线 MetaStudio
    迁移
    主机迁移服务 SMS
    对象存储迁移服务 OMS
    云数据迁移 CDM
    迁移中心 MGC
    专属云
    专属计算集群 DCC
    开发者工具
    SDK开发指南
    API签名指南
    DevStar
    华为云命令行工具服务 KooCLI
    Huawei Cloud Toolkit
    CodeArts API
    云化转型
    云架构中心
    云采用框架
    用户服务
    账号中心
    费用中心
    成本中心
    资源中心
    企业管理
    工单管理
    客户运营能力
    国际站常见问题
    支持计划
    专业服务
    合作伙伴支持计划
    我的凭证
    华为云公共事业服务云平台
    工业软件
    工业数字模型驱动引擎
    硬件开发工具链平台云服务
    工业数据转换引擎云服务

      本产品内“”的所有结果

      本文导读

      展开导读

      文档首页/ 华为乾坤/ 云管理网络/ 网络部署/ IPsec VPN互联/ VPN配置

      VPN配置

      更新时间:2025-02-17 GMT+08:00
      查看PDF
      分享

      背景信息

      根据实际情况,添加需要互联的分支、总部站点,并创建“点对点”或“点对多点”的VPN隧道,配置互联相关的信息。

      为提升数据传输的安全性,用户可以在防火墙、AR与对端设备之间建立IPsec隧道,将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证,可以保障关键业务数据在Internet中安全传输,降低信息泄漏的风险。

      在Hub-Spoke场景中,V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后,防火墙会选用最先配置的链路建立IPsec隧道,并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值,防火墙会切换到其他链路建立IPsec隧道,并继续检测IPsec隧道的时延和丢包率,直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限(缺省为3次)。启用智能选路功能后,Hub和Spoke的选取规则如下:

      设备角色

      约束条件

      Hub
      1. 当前只支持防火墙或第三方设备作为Hub设备。
      2. 已作为Spoke使用的设备不能同时作为Hub使用。
      3. 非智能选路场景下,只支持1台Hub设备,一个VPN中的Hub设备不能和其他VPN重复。
      4. 智能选路场景下,最多支持10台Hub设备。
      5. 子网数必须大于0,且不能大于16。

      Spoke
      1. 已作为Hub使用的设备不能同时作为Spoke使用。
      2. 一个Spoke设备最多在3个VPN中。
      3. 一个VPN最多支持32台互访设备或者200台不互访设备。
      4. Spoke子网网段不能重叠。
      5. VPN最后一个Spoke节点不允许删除。
      6. 子网数必须大于0,且不能大于16。
      说明:
      • 当前仅支持一级租户下的用户进行“站点间互联”配置。
      • 低于V300R003C10版本的AR设备不支持配置IPsec VPN。
      • AR设备不支持Mesh组网,也不支持作为Hub节点,可作为Spoke节点。
      • AR设备不支持开启IPsec 智能选路。
      • AR设备不支持通过设备SN和FQDN方式进行身份认证。

      前提条件

      在作为Hub节点、Spoke节点或Mesh节点参与IPsec VPN通信的设备上,需提前完成以下配置。

      设备类型

      要求

      云防火墙

      已配置子网信息。具体请参见防火墙业务配置 > 网络

      云AR

      已经配置网络信息。具体请参见路由器业务配置 > 网络

      第三方设备
      配置IPsec VPN相关的如下业务。具体操作方法请参考第三方设备的资料。
      • 子网信息:当前节点与其他节点通信的过程中,数据报文通过该网络进出IPsec隧道。
      • 安全提议:IPsec隧道两端设备使用相同的安全协议、认证加密算法和数据封装模式,共同约定IPsec保护方法。
      • IPsec策略:规定对哪些数据流采用哪种保护方法。

      操作步骤

      1. 登录华为乾坤控制台
      2. 单击工作台页面左上角按钮,可以在“服务中心”选择“云网络 > 网络管理 > 云管理网络”,也可以在“我的服务”选择“云管理网络”进入服务首页。
      3. 在服务首页,单击快捷菜单栏“常用 > IPsec VPN > VPN配置”。
      4. 单击“创建”,配置VPN基本信息。参数说明参见表1,完成后单击“下一步”。

        说明:
        • Hub-Spoke:点到多点模式,用于总部到多分支的场景。在该拓扑模式中,中心访问控制设备所在站点称为Hub站点,其他用户站点称为Spoke站点。
        • Mesh:点到点模式,用于多分支之间两两互连的场景。

        表1 基本信息参数说明

        参数

        说明

        名称

        VPN通道名称。

        拓扑模式
        • Hub-Spoke:点到多点模式,用于总部到多分支的场景。在该拓扑模式中,中心访问控制设备所在站点称为Hub站点,其他用户站点称为Spoke站点。
        • Mesh:点到点模式,用于多分支之间两两互连的场景。

        IPsec智能选路(仅Hub-Spoke支持)

        缺省关闭。如果开启,设备会启用链路质量探测,根据链路质量切换链路。

        防火墙设备支持此功能。

        说明:
        • 当开启“IPsec智能选路”且防火墙出接口使用静态地址时,必须在防火墙出接口配置网关地址。
        • 使能智能选路功能后,所有Hub设备的子网配置必须完全相同。
        • 使能智能选路功能后,只能按IP地址添加Hub节点。此情况下,还需要通过命令行等其他途径在作为Hub节点的设备上配置IPsec VPN相关业务。
        • 使能智能选路功能后会删除Spoke节点中的AR设备,请谨慎操作。
        • 修改IPsec VPN配置时,智能选路开关不支持更新。

        探测报文发送时间间隔(s)

        仅当开启“IPsec智能选路”时,才需配置此项。

        探测周期发送的报文数

        仅当开启“IPsec智能选路”时,才需配置此项。

        一个探测周期内发送的探测报文总数。假设该参数配置为20,则防火墙每发送20个探测报文就会对探测结果进行一次统计,计算出丢包率和时延,并与设置的阈值做比较。如果丢包率或时延超过阈值,就会触发链路切换。

        丢包阈值(%)

        仅当开启“IPsec智能选路”时,才需配置此项。

        设置丢包比例的阈值,当探测结果超过此设定的阈值,将会触发链路切换。

        时延阈值(毫秒)

        仅当开启“IPsec智能选路”时,才需配置此项。

        设置时延的阈值,当探测结果超过此设定的阈值,将会触发链路切换。

        链路切换模式

        仅当开启“IPsec智能选路”时,才需配置此项。

        • 高优先级优先:智能选路时,链路倾向切换到优先级高的链路。此时需配置“切换延迟时间(s)”。链路回切时默认高优先级优先。
        • 按优先级循环:智能选路时,按链路优先级循环切换链路。此时需配置“最大循环次数”,到达切换次数上限后,会停止链路探测和切换(10分钟)。

        自定义探测地址

        仅当开启“IPsec智能选路”且“链路切换模式”为“按优先级循环”时,才需配置此项。

        启用后,可以在Hub节点上输入探测地址。

        路由注入

        缺省开启。如果开启该开关,所有节点会根据互通子网自动生成对应路由,多上行链路场景建议打开此开关。

        路由器V300R003C10及之后版本才支持此功能。

      5. 进入拓扑配置页面,根据选择的拓扑模式分别配置参数,完成后单击“下一步”。

        • 若选择Hub-Spoke拓扑模式,参数说明请参见表2
        • 若选择Mesh拓扑模式,参数说明请参见表3

        表2 拓扑配置参数说明(Hub-Spoke拓扑模式)

        参数

        参数说明

        Hub配置

        Hub节点

        如果IPsec VPN发起端(总部)是云防火墙,请选择“云管理设备”;否则,请选择“第三方设备”。

        说明:
        • 当“Hub节点”选择“云管理设备”时,Spoke节点下的公网IP数量会受到限制,具体的公网IP数量请以实际设备支持数量为准。

        IP

        当“Hub节点”为“第三方设备”,填写该设备与Spoke节点通信的网口IP地址。

        设备

        当“Hub节点”为“云管理设备”,单击按钮选择防火墙设备作为Hub节点,同时设置“出接口”。

        子网

        Hub节点与其他节点通信时,数据报文通过该网络进出IPsec隧道。

        • 当“Hub节点”选择“第三方设备”,填写为Hub节点与IPsec网关之间通信所使用的网段。
        • 当“Hub节点”选择“云管理设备”,单击按钮并单击“创建”,可选择子网或自定义子网,注意Hub与Spoke、Hub与Hub、Spoke与Spoke的网段不能重叠。

        探测报文目的地址

        (仅当“IPsec智能选路”为“ON”时可配)Spoke设备进行智能选路探测的时候,该地址将作为探测报文的目的地址。添加Spoke设备后,需要单击操作列的修改按钮,修改设备信息填写探测报文源地址。

        Spoke配置

        设备

        IPsec VPN隧道对端(分支)。

        1. 单击“增加”,选择云防火墙或者AR作为Spoke设备。
        2. 单击按钮,进一步配置Spoke设备,完成后单击提交。
          • 出接口:隧道连接的本端接口类型和接口编号。
          • 本端子网:单击“设置”配置Spoke端子网信息,可选择子网或自定义子网,注意Hub与Spoke、Hub与Hub、Spoke与Spoke的网段不能重叠。Spoke节点与其他节点通信的过程中,数据报文通过该网络进出IPsec隧道。
          • 流量限速:对出接口流量进行限制。
          • Spoke互访:缺省关闭。使能此开关后,Spoke站点间可直接互访,不再通过Hub节点转发。
          说明:
          • Spoke可以选择多个“出接口” ,Mesh或者Hub设备只能有一个“出接口”。
          • 只有Spoke设备支持设置“Spoke互访”。

        第三方设备

        IPsec VPN隧道对端(分支)。

        单击“创建”,将第三方设备添加为Spoke设备。需填写该设备与Hub节点通信所使用的本端IP地址,并指定IPsec VPN隧道的数据报文传输所使用的子网信息。
        表3 拓扑配置参数说明(Mesh拓扑模式)

        参数

        参数说明

        设备

        单击“增加”,从当前站点的设备中选择用于组成VPN mesh网络的设备。

        第三方设备

        单击“创建”,将第三方设备添加为Mesh节点。需要填写该设备上行口的IP地址,并指定IPsec VPN隧道的数据报文传输过程所填写的子网信息。

      6. 进入安全配置页面,根据表4配置参数。为参与IPsec通信的所有节点配置与其他节点之间的安全策略,允许节点之间的哪些数据报文以加密方式传输。完成后单击“确定”。

        • 对于Hub-Spoke模式,需要为Hub节点与Spoke节点之间配置允许放通的安全策略。
        • 对于Mesh模式,需要为两两节点之间配置允许放通的安全策略。

        以下操作需要在“高级配置”界面上进行,例如将Hub节点和Spoke节点的子网网段分别加入“源地址”和“目的地址”,并在安全策略区域中将“动作”设置为“允许”。具体操作请参考《iMaster NCE-Campus产品文档》中“防火墙配置安全策略”内容。

        说明:
        若配置不成功,可参见相关设备维护手册,查看设备常见故障的处理方法:
        表4 安全配置参数说明

        参数

        参数说明

        IPsec安全模板

        已内置“default”模板,可根据实际情况自定义安全模板。

        • 新建安全模板:单击“+”,设置IKE和IPsec协商参数(具体介绍请参见表5),并单击“确定”保存当前模板。
        • 修改模板:选择目标模板,单击按钮修改模板参数,单击“确定”。
        说明:

        选择不安全算法或版本的防火墙,需要安装对应弱安全算法组件包,否则可能下发失败。

        密钥

        IPsec隧道两端配置的认证密钥必须保持一样。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则无法正确地建立SA。请输入6~128位英文字母、数字、除空格和问号外特殊符号。

        身份认证类型

        可根据设备的IP、SN或者FQDN进行身份安全认证。

        • 当前SN认证方式只支持防火墙设备。
        • 当选择FQDN方式进行身份认证时,需要配置校验方式和身份ID。
          • 校验方式
            • Hub校验Spoke:Hub节点校验Spoke节点的身份认证信息。
            • Spoke校验Hub:Spoke节点校验Hub节点的身份认证信息。
            • 双向校验:节点间进行双向身份认证信息校验。Mesh场景时,支持此校验方式。
          • 身份ID:配置用于进行身份认证的ID。
        说明:
        • Mesh拓扑模式下,身份认证类型仅支持IP和FQDN。
        • Mesh拓扑模式下选择FQDN方式进行身份认证时,校验方式仅支持“双向校验”。
        表5 安全模板参数

        参数

        参数说明

        IKE参数

        IKE版本

        IKE对等体使用的IKE协议版本号,本端和对端必须相同。

        • 推荐选用IKEv2,安全性和扩展性更好、协商效率更高。
        • 如果选用IKEv1,则本端和对端必须使用相同的“协商模式”。

        加密算法

        用于加密和解密IP报文的算法,密钥长度越大越安全,但加密速度越慢。

        安全级别由高到低依次为AES-256 > AES-192 > AES-128 > 3DES > DES,不建议使用不安全的DES和3DES算法。

        协商模式

        仅当“IKE版本”选择IKEv1时,才需配置此项。

        • 主模式:提供身份保护。对等体标识时只能是IP类型。
        • 野蛮模式:协商速度更快,但不提供身份保护。对等体标识时可以是IP类型,也可以是FQDN名称类型。

        认证算法

        仅当“IKE版本”选择IKEv1时,才需配置此项,是协商所用的认证算法。

        安全级别由高到低依次为SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5,不建议使用不安全的MD5和SHA1算法。

        完整性算法

        仅当“IKE版本”选择IKEv2时,才需配置此项,是协商所用的完整性算法。

        安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > AES-XCBC-96 > SHA1 > MD5。不建议使用不安全的MD5和SHA1算法。

        PRF

        仅当“IKE版本”选择IKEv2时,才需配置此项,是协商所用的伪随机函数算法。

        安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > AES-XCBC-128 > SHA1 > MD5。不建议使用不安全的MD5和SHA1。

        DH组

        IKE阶段1密钥协商时所使用的DH(Diffie-Hellman)组,用于计算共享密钥,防止报文被非法破解。

        DH组安全级别由高到低依次为group16 > group15 > group14> group5 > group2 > group1。不建议使用不安全的group1、group2和group5。

        说明:

        IPsec隧道两端必须使用相同的DH组,否则IKE协商失败。

        SA超时时间(s)

        IKE SA的生存周期,用于IKE SA的定时更新,降低SA被破解的风险,可以提高安全性。超时后需重新协商新的IKE SA。建议设置为大于600秒。

        IPsec参数

        封装模式

        缺省为“隧道模式”。将AH或ESP相关的字段按一定规则插入到原始IP报文中,以实现对报文的认证和加密。隧道模式的安全性更高,但也占用更多带宽。

        说明:

        如果IPsec隧道中间存在NAT设备,则必须开启NAT穿越,且“封装模式”只能选择“隧道模式”、“安全协议”只能选择“ESP”。

        安全协议

        传输和封装数据报文时所使用的协议。AH和ESP各有优缺点,在安全要求较高的场景中推荐使用AH-ESP。

        • ESP:可以对报文进行加密或认证。

          ESP加密算法:安全级别由高到低依次为SM4 > AES-256-GCM-128 > AES-192-GCM-128 > AES-128-GCM-128 > AES-256 > AES-192 > AES-128 > 3DES > DES。其中SM4仅支持在IKEv1协商模式下使用。不建议使用不安全的3DES和DES。

          ESP认证算法:安全级别由高到低依次为SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。其中只有在ESP加密算法选择SM4时,才能在ESP认证算法中选择SM3。不建议使用不安全的SHA1和MD5。

        • AH(不安全协议):只能对报文进行认证。

          认证算法:安全级别由高到低分别为SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

        • AH-ESP:同时使用AH和ESP协议对报文进行保护。先对报文进行ESP封装,再进行AH封装。

          认证算法:安全级别由高到低分别为SM3 >SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

          ESP加密算法:安全级别由高到低依次为AES-256-GCM-128 > AES-192-GCM-128 > AES-128-GCM-128 > AES-256 > AES-192 > AES-128 > 3DES > DES。不建议使用不安全的3DES和DES。

          ESP认证算法:安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

          说明:

          只有如下款型AP支持设置加密算法:

          AP2051DN、AP4050DN-E、AP6050DN、AP4050DE-M、AirEngine8760R-X1、AirEngine8760R-X1E、AirEngine6760R-51、AirEngine6760R-51E、AirEngine6760-X1、AirEngine6760-X1E、AirEngine5760-51、AirEngine8760-X1-PRO、AirEngine5760-22W、AirEngine6761S-21T、AirEngine6761-21T、AirEngine5761-11、AirEngine5761S-11、AirEngine5761-11W、AirEngine5761S-11W、AirEngine5761S-21、AirEngine5761-12W、AirEngine6760-51EI、AirEngine5761R-11、AirEngine5761R-11E、AirEngine5761RS-11、AirEngine6761-21、AirEngine6761-21E、AirEngine6761S-21、AirEngine5761S-13、AirEngine5761S-12。

        PFS

        配置本端发起协商时使用的PFS特性。 在IKEv1阶段2或IKEv2创建子SA交换的协商中进行一次附加的DH交换,保证IPsec SA密钥的安全,以提高通信的安全性。不建议使用不安全的group1、group2和group5。

        说明:

        如果隧道协商启用PFS功能,本端和对端指定的DH组必须一致,否则协商会失败。

        IPsec SA老化管理

        配置SA生存周期,用于SA实时更新,降低SA被破解的风险,可以提高安全性。如下两种生存周期中只要有任意一种到期,当前SA都会失效,IKE将为对等体协商新的SA用于保护IPsec通信。

        • 基于时间:SA的存活时间。
        • 基于流量:SA允许处理的最大流量。建议该取值与IPSecVPN带宽的比值大于等于3600秒。
        说明:

        生存周期只对通过IKE方式建立的SA有效。

        采用IKEv1进行IPsec协商时,如果隧道有一端的基于流量的SA生存周期配置为0,则隧道两端都关闭流量超时功能。采用IKEv2进行IPsec协商时,如果本端隧道流量超时值配置为0,则关闭本端流量超时功能。

        DPD

        开关

        缺省关闭。若开启,则启用对等体存活检测DPD(Dead peer detection)功能,此时IKE对等体之间将通过DPD消息检测对方的存活。

        检测方式
        • 按需发送:当本端需要向对端发送IPsec报文时,如果当前距离最后一次收到对端的IPsec报文的时长已超过DPD空闲时间,则触发DPD检测,本端主动向对端发送DPD请求报文。
        • 周期性发送:如果当前距离最后一次收到对端的IPsec报文或DPD请求报文的时长已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。

        检测时间间隔

        DPD检测报文的发送周期。IPsec隧道数量较多时,需要适当调整DPD报文的发送间隔,避免DPD报文收发过于密集而导致设备性能下降。

        重传时间间隔

        DPD报文重传时间间隔。

        载荷顺序
        • hash-notify。
        • notify-hash。

      后续操作

      创建IPsec VPN通道后,支持对IPsec VPN进行如下操作:

      • 搜索:在IPsec VPN配置列表左上方搜索框输入名称、设备、设备站点或状态,单击左侧或按回车键直接搜索。
      • 修改:选中目标IPsec VPN网络,单击列表中“编辑”,可修改当前IPsec VPN配置。
        说明:

        修改IPsec VPN会导致设备之前的IPsec VPN隧道中断,可能无法重新建立,请谨慎操作。

      • 删除:选中目标IPsec VPN网络,单击列表中“删除”或选中多个IPsec VPN网络单击列表右上方“删除”,支持单个或批量删除IPsec VPN网络。
        说明:

        若设备为“未注册”或“离线”状态,将无法成功删除设备所在的VPN。

      • 查看下发状态:单击列表中 “查看下发状态”,可查看当前站点间IPsec VPN配置下发状态。如需重新下发IPsec VPN配置,可单击“重新下发”。

        IPsec VPN配置状态如下:

        • 预配置:设备还未上线,配置待下发。
        • 失败:设备上线成功,配置下发失败。
        • 告警:设备上线成功,配置下发异常。
        • 正在部署:设备上线成功,配置正在下发中。
        • 成功:设备上线成功,配置下发成功。
      父主题: IPsec VPN互联

      相关文档

      提示

      您即将访问非华为云网站,请注意账号财产安全

      取消 继续访问
      文档反馈

      文档反馈

      意见反馈

      0/500

      标记内容

      同时提交标记内容