文档首页/ 华为乾坤/ 云管理网络/ 网络部署/ IPsec VPN互联/ VPN配置
更新时间:2024-12-03 GMT+08:00
查看PDF
分享

VPN配置

背景信息

根据实际情况,添加需要互联的分支、总部站点,并创建“点对点”或“点对多点”的VPN隧道,配置互联相关的信息。

为提升数据传输的安全性,用户可以在防火墙、AR与对端设备之间建立IPsec隧道,将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证,可以保障关键业务数据在Internet中安全传输,降低信息泄漏的风险。

在Hub-Spoke场景中,V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后,防火墙会选用最先配置的链路建立IPsec隧道,并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值,防火墙会切换到其他链路建立IPsec隧道,并继续检测IPsec隧道的时延和丢包率,直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限(缺省为3次)。启用智能选路功能后,Hub和Spoke的选取规则如下:

设备角色

约束条件

Hub
  1. 当前只支持防火墙或第三方设备作为Hub设备。
  2. 已作为Spoke使用的设备不能同时作为Hub使用。
  3. 非智能选路场景下,只支持1台Hub设备,一个VPN中的Hub设备不能和其他VPN重复。
  4. 智能选路场景下,最多支持10台Hub设备。
  5. 子网数必须大于0,且不能大于16。

Spoke
  1. 已作为Hub使用的设备不能同时作为Spoke使用。
  2. 一个Spoke设备最多在3个VPN中。
  3. 一个VPN最多支持32台互访设备或者200台不互访设备。
  4. Spoke子网网段不能重叠。
  5. VPN最后一个Spoke节点不允许删除。
  6. 子网数必须大于0,且不能大于16。
  • 当前仅支持一级租户下的用户进行“站点间互联”配置。
  • 低于V300R003C10版本的AR设备不支持配置IPsec VPN。
  • AR设备不支持Mesh组网,也不支持作为Hub节点,可作为Spoke节点。
  • AR设备不支持开启IPsec 智能选路。
  • AR设备不支持通过设备SN和FQDN方式进行身份认证。

前提条件

在作为Hub节点、Spoke节点或Mesh节点参与IPsec VPN通信的设备上,需提前完成以下配置。

设备类型

要求

云防火墙

已配置子网信息。具体请参见防火墙业务配置 > 网络

云AR

已经配置网络信息。具体请参见路由器业务配置 > 网络

第三方设备
配置IPsec VPN相关的如下业务。具体操作方法请参考第三方设备的资料。
  • 子网信息:当前节点与其他节点通信的过程中,数据报文通过该网络进出IPsec隧道。
  • 安全提议:IPsec隧道两端设备使用相同的安全协议、认证加密算法和数据封装模式,共同约定IPsec保护方法。
  • IPsec策略:规定对哪些数据流采用哪种保护方法。

操作步骤

  1. 登录华为乾坤控制台
  2. 单击工作台页面左上角按钮,可以在“服务中心”选择“云网络 > 网络管理 > 云管理网络”,也可以在“我的服务”选择“云管理网络”进入服务首页。
  3. 在服务首页,单击快捷菜单栏“常用 > IPsec VPN > VPN配置”。
  4. 单击“创建”,配置VPN基本信息。参数说明参见表1,完成后单击“下一步”。

    • Hub-Spoke:点到多点模式,用于总部到多分支的场景。在该拓扑模式中,中心访问控制设备所在站点称为Hub站点,其他用户站点称为Spoke站点。
    • Mesh:点到点模式,用于多分支之间两两互连的场景。

    表1 基本信息参数说明

    参数

    说明

    名称

    VPN通道名称。

    拓扑模式
    • Hub-Spoke:点到多点模式,用于总部到多分支的场景。在该拓扑模式中,中心访问控制设备所在站点称为Hub站点,其他用户站点称为Spoke站点。
    • Mesh:点到点模式,用于多分支之间两两互连的场景。

    IPsec智能选路(仅Hub-Spoke支持)

    缺省关闭。如果开启,设备会启用链路质量探测,根据链路质量切换链路。

    防火墙设备支持此功能。

    说明:
    • 当开启“IPsec智能选路”且防火墙出接口使用静态地址时,必须在防火墙出接口配置网关地址。
    • 使能智能选路功能后,所有Hub设备的子网配置必须完全相同。
    • 使能智能选路功能后,只能按IP地址添加Hub节点。此情况下,还需要通过命令行等其他途径在作为Hub节点的设备上配置IPsec VPN相关业务。
    • 使能智能选路功能后会删除Spoke节点中的AR设备,请谨慎操作。
    • 修改IPsec VPN配置时,智能选路开关不支持更新。

    探测报文发送时间间隔(s)

    仅当开启“IPsec智能选路”时,才需配置此项。

    探测周期发送的报文数

    仅当开启“IPsec智能选路”时,才需配置此项。

    一个探测周期内发送的探测报文总数。假设该参数配置为20,则防火墙每发送20个探测报文就会对探测结果进行一次统计,计算出丢包率和时延,并与设置的阈值做比较。如果丢包率或时延超过阈值,就会触发链路切换。

    丢包阈值(%)

    仅当开启“IPsec智能选路”时,才需配置此项。

    设置丢包比例的阈值,当探测结果超过此设定的阈值,将会触发链路切换。

    时延阈值(毫秒)

    仅当开启“IPsec智能选路”时,才需配置此项。

    设置时延的阈值,当探测结果超过此设定的阈值,将会触发链路切换。

    链路切换模式

    仅当开启“IPsec智能选路”时,才需配置此项。

    • 高优先级优先:智能选路时,链路倾向切换到优先级高的链路。此时需配置“切换延迟时间(s)”。链路回切时默认高优先级优先。
    • 按优先级循环:智能选路时,按链路优先级循环切换链路。此时需配置“最大循环次数”,到达切换次数上限后,会停止链路探测和切换(10分钟)。

    自定义探测地址

    仅当开启“IPsec智能选路”且“链路切换模式”为“按优先级循环”时,才需配置此项。

    启用后,可以在Hub节点上输入探测地址。

    路由注入

    缺省开启。如果开启该开关,所有节点会根据互通子网自动生成对应路由,多上行链路场景建议打开此开关。

    路由器V300R003C10及之后版本才支持此功能。

  5. 进入拓扑配置页面,根据选择的拓扑模式分别配置参数,完成后单击“下一步”。

    • 若选择Hub-Spoke拓扑模式,参数说明请参见表2
    • 若选择Mesh拓扑模式,参数说明请参见表3

    表2 拓扑配置参数说明(Hub-Spoke拓扑模式)

    参数

    参数说明

    Hub配置

    Hub节点

    如果IPsec VPN发起端(总部)是云防火墙,请选择“云管理设备”;否则,请选择“第三方设备”。

    说明:
    • 当“Hub节点”选择“云管理设备”时,Spoke节点下的公网IP数量会受到限制,具体的公网IP数量请以实际设备支持数量为准。

    IP

    当“Hub节点”为“第三方设备”,填写该设备与Spoke节点通信的网口IP地址。

    设备

    当“Hub节点”为“云管理设备”,单击按钮选择防火墙设备作为Hub节点,同时设置“出接口”。

    子网

    Hub节点与其他节点通信时,数据报文通过该网络进出IPsec隧道。

    • 当“Hub节点”选择“第三方设备”,填写为Hub节点与IPsec网关之间通信所使用的网段。
    • 当“Hub节点”选择“云管理设备”,单击按钮并单击“创建”,可选择子网或自定义子网,注意Hub与Spoke、Hub与Hub、Spoke与Spoke的网段不能重叠。

    探测报文目的地址

    (仅当“IPsec智能选路”为“ON”时可配)Spoke设备进行智能选路探测的时候,该地址将作为探测报文的目的地址。添加Spoke设备后,需要点击操作列的修改按钮,修改设备信息填写探测报文源地址。

    Spoke配置

    设备

    IPsec VPN隧道对端(分支)。

    1. 单击“增加”,选择云防火墙或者AR作为Spoke设备。
    2. 单击按钮,进一步配置Spoke设备,完成后单击提交。
      • 出接口:隧道连接的本端接口类型和接口编号。
      • 本端子网:单击“设置”配置Spoke端子网信息,可选择子网或自定义子网,注意Hub与Spoke、Hub与Hub、Spoke与Spoke的网段不能重叠。Spoke节点与其他节点通信的过程中,数据报文通过该网络进出IPsec隧道。
      • 流量限速:对出接口流量进行限制。
      • Spoke互访:缺省关闭。使能此开关后,Spoke站点间可直接互访,不再通过Hub节点转发。
      说明:
      • Spoke可以选择多个“出接口” ,Mesh或者Hub设备只能有一个“出接口”。
      • 只有Spoke设备支持设置“Spoke互访”。

    第三方设备

    IPsec VPN隧道对端(分支)。

    单击“创建”,将第三方设备添加为Spoke设备。需填写该设备与Hub节点通信所使用的本端IP地址,并指定IPsec VPN隧道的数据报文传输所使用的子网信息。
    表3 拓扑配置参数说明(Mesh拓扑模式)

    参数

    参数说明

    设备

    单击“增加”,从当前站点的设备中选择用于组成VPN mesh网络的设备。

    第三方设备

    单击“创建”,将第三方设备添加为Mesh节点。需要填写该设备上行口的IP地址,并指定IPsec VPN隧道的数据报文传输过程所填写的子网信息。

  6. 进入安全配置页面,根据表4配置参数。为参与IPsec通信的所有节点配置与其他节点之间的安全策略,允许节点之间的哪些数据报文以加密方式传输。完成后单击“确定”。

    • 对于Hub-Spoke模式,需要为Hub节点与Spoke节点之间配置允许放通的安全策略。
    • 对于Mesh模式,需要为两两节点之间配置允许放通的安全策略。

    以下操作需要在“高级配置”界面上进行,例如将Hub节点和Spoke节点的子网网段分别加入“源地址”和“目的地址”,并在安全策略区域中将“动作”设置为“允许”。具体操作请参考《iMaster NCE-Campus产品文档》中“防火墙配置安全策略”内容。

    若配置不成功,可参见相关设备维护手册,查看设备常见故障的处理方法:
    表4 安全配置参数说明

    参数

    参数说明

    IPsec安全模板

    已内置“default”模板,可根据实际情况自定义安全模板。

    • 新建安全模板:单击“+”,设置IKE和IPsec协商参数(具体介绍请参见表5),并单击“确定”保存当前模板。
    • 修改模板:选择目标模板,单击按钮修改模板参数,单击“确定”。
    说明:

    选择不安全算法或版本的防火墙,需要安装对应弱安全算法组件包,否则可能下发失败。

    密钥

    IPsec隧道两端配置的认证密钥必须保持一样。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则无法正确地建立SA。请输入6~128位英文字母、数字、除空格和问号外特殊符号。

    身份认证类型

    可根据设备的IP、SN或者FQDN进行身份安全认证。

    • 当前SN认证方式只支持防火墙设备。
    • 当选择FQDN方式进行身份认证时,需要配置校验方式和身份ID。
      • 校验方式
        • Hub校验Spoke:Hub节点校验Spoke节点的身份认证信息。
        • Spoke校验Hub:Spoke节点校验Hub节点的身份认证信息。
        • 双向校验:节点间进行双向身份认证信息校验。Mesh场景时,支持此校验方式。
      • 身份ID:配置用于进行身份认证的ID。
    说明:
    • Mesh拓扑模式下,身份认证类型仅支持IP和FQDN。
    • Mesh拓扑模式下选择FQDN方式进行身份认证时,校验方式仅支持“双向校验”。
    表5 安全模板参数

    参数

    参数说明

    IKE参数

    IKE版本

    IKE对等体使用的IKE协议版本号,本端和对端必须相同。

    • 推荐选用IKEv2,安全性和扩展性更好、协商效率更高。
    • 如果选用IKEv1,则本端和对端必须使用相同的“协商模式”。

    加密算法

    用于加密和解密IP报文的算法,密钥长度越大越安全,但加密速度越慢。

    安全级别由高到低依次为AES-256 > AES-192 > AES-128 > 3DES > DES,不建议使用不安全的DES和3DES算法。

    协商模式

    仅当“IKE版本”选择IKEv1时,才需配置此项。

    • 主模式:提供身份保护。对等体标识时只能是IP类型。
    • 野蛮模式:协商速度更快,但不提供身份保护。对等体标识时可以是IP类型,也可以是FQDN名称类型。

    认证算法

    仅当“IKE版本”选择IKEv1时,才需配置此项,是协商所用的认证算法。

    安全级别由高到低依次为SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5,不建议使用不安全的MD5和SHA1算法。

    完整性算法

    仅当“IKE版本”选择IKEv2时,才需配置此项,是协商所用的完整性算法。

    安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > AES-XCBC-96 > SHA1 > MD5。不建议使用不安全的MD5和SHA1算法。

    PRF

    仅当“IKE版本”选择IKEv2时,才需配置此项,是协商所用的伪随机函数算法。

    安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > AES-XCBC-128 > SHA1 > MD5。不建议使用不安全的MD5和SHA1。

    DH组

    IKE阶段1密钥协商时所使用的DH(Diffie-Hellman)组,用于计算共享密钥,防止报文被非法破解。

    DH组安全级别由高到低依次为group16 > group15 > group14> group5 > group2 > group1。不建议使用不安全的group1、group2和group5。

    说明:

    IPsec隧道两端必须使用相同的DH组,否则IKE协商失败。

    SA超时时间(s)

    IKE SA的生存周期,用于IKE SA的定时更新,降低SA被破解的风险,可以提高安全性。超时后需重新协商新的IKE SA。建议设置为大于600秒。

    IPsec参数

    封装模式

    缺省为“隧道模式”。将AH或ESP相关的字段按一定规则插入到原始IP报文中,以实现对报文的认证和加密。隧道模式的安全性更高,但也占用更多带宽。

    说明:

    如果IPsec隧道中间存在NAT设备,则必须开启NAT穿越,且“封装模式”只能选择“隧道模式”、“安全协议”只能选择“ESP”。

    安全协议

    传输和封装数据报文时所使用的协议。AH和ESP各有优缺点,在安全要求较高的场景中推荐使用AH-ESP。

    • ESP:可以对报文进行加密或认证。

      ESP加密算法:安全级别由高到低依次为SM4 > AES-256-GCM-128 > AES-192-GCM-128 > AES-128-GCM-128 > AES-256 > AES-192 > AES-128 > 3DES > DES。其中SM4仅支持在IKEv1协商模式下使用。不建议使用不安全的3DES和DES。

      ESP认证算法:安全级别由高到低依次为SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。其中只有在ESP加密算法选择SM4时,才能在ESP认证算法中选择SM3。不建议使用不安全的SHA1和MD5。

    • AH(不安全协议):只能对报文进行认证。

      认证算法:安全级别由高到低分别为SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

    • AH-ESP:同时使用AH和ESP协议对报文进行保护。先对报文进行ESP封装,再进行AH封装。

      认证算法:安全级别由高到低分别为SM3 >SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

      ESP加密算法:安全级别由高到低依次为AES-256-GCM-128 > AES-192-GCM-128 > AES-128-GCM-128 > AES-256 > AES-192 > AES-128 > 3DES > DES。不建议使用不安全的3DES和DES。

      ESP认证算法:安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

      说明:

      只有如下款型AP支持设置加密算法:

      AP2051DN、AP4050DN-E、AP6050DN、AP4050DE-M、AirEngine8760R-X1、AirEngine8760R-X1E、AirEngine6760R-51、AirEngine6760R-51E、AirEngine6760-X1、AirEngine6760-X1E、AirEngine5760-51、AirEngine8760-X1-PRO、AirEngine5760-22W、AirEngine6761S-21T、AirEngine6761-21T、AirEngine5761-11、AirEngine5761S-11、AirEngine5761-11W、AirEngine5761S-11W、AirEngine5761S-21、AirEngine5761-12W、AirEngine6760-51EI、AirEngine5761R-11、AirEngine5761R-11E、AirEngine5761RS-11、AirEngine6761-21、AirEngine6761-21E、AirEngine6761S-21、AirEngine5761S-13、AirEngine5761S-12。

    PFS

    配置本端发起协商时使用的PFS特性。 在IKEv1阶段2或IKEv2创建子SA交换的协商中进行一次附加的DH交换,保证IPsec SA密钥的安全,以提高通信的安全性。不建议使用不安全的group1、group2和group5。

    说明:

    如果隧道协商启用PFS功能,本端和对端指定的DH组必须一致,否则协商会失败。

    IPsec SA老化管理

    配置SA生存周期,用于SA实时更新,降低SA被破解的风险,可以提高安全性。如下两种生存周期中只要有任意一种到期,当前SA都会失效,IKE将为对等体协商新的SA用于保护IPsec通信。

    • 基于时间:SA的存活时间。
    • 基于流量:SA允许处理的最大流量。建议该取值与IPSecVPN带宽的比值大于等于3600秒。
    说明:

    生存周期只对通过IKE方式建立的SA有效。

    采用IKEv1进行IPsec协商时,如果隧道有一端的基于流量的SA生存周期配置为0,则隧道两端都关闭流量超时功能。采用IKEv2进行IPsec协商时,如果本端隧道流量超时值配置为0,则关闭本端流量超时功能。

    DPD

    开关

    缺省关闭。若开启,则启用对等体存活检测DPD(Dead peer detection)功能,此时IKE对等体之间将通过DPD消息检测对方的存活。

    检测方式
    • 按需发送:当本端需要向对端发送IPsec报文时,如果当前距离最后一次收到对端的IPsec报文的时长已超过DPD空闲时间,则触发DPD检测,本端主动向对端发送DPD请求报文。
    • 周期性发送:如果当前距离最后一次收到对端的IPsec报文或DPD请求报文的时长已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。

    检测时间间隔

    DPD检测报文的发送周期。IPsec隧道数量较多时,需要适当调整DPD报文的发送间隔,避免DPD报文收发过于密集而导致设备性能下降。

    重传时间间隔

    DPD报文重传时间间隔。

    载荷顺序
    • hash-notify。
    • notify-hash。

后续操作

创建IPsec VPN通道后,支持对IPsec VPN进行如下操作:

  • 搜索:在IPsec VPN配置列表左上方搜索框输入名称、设备、设备站点或状态,单击左侧或按回车键直接搜索。
  • 修改:选中目标IPsec VPN网络,单击列表中“编辑”,可修改当前IPsec VPN配置。

    修改IPsec VPN会导致设备之前的IPsec VPN隧道中断,可能无法重新建立,请谨慎操作。

  • 删除:选中目标IPsec VPN网络,单击列表中“删除”或选中多个IPsec VPN网络单击列表右上方“删除”,支持单个或批量删除IPsec VPN网络。

    若设备为“未注册”或“离线”状态,将无法成功删除设备所在的VPN。

  • 查看下发状态:单击列表中 “查看下发状态”,可查看当前站点间IPsec VPN配置下发状态。如需重新下发IPsec VPN配置,可单击“重新下发”。

    IPsec VPN配置状态如下:

    • 预配置:设备还未上线,配置待下发。
    • 失败:设备上线成功,配置下发失败。
    • 告警:设备上线成功,配置下发异常。
    • 正在部署:设备上线成功,配置正在下发中。
    • 成功:设备上线成功,配置下发成功。
父主题: IPsec VPN互联

相关文档