- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-H3C MSR系列路由器 云简VPN典型配置举例
本章节下载 (2.77 MB)
H3C MSR系列路由器
云简VPN典型配置
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍云简VPN典型配置。
云简网络平台是应互联网+要求建立的新IT在线运营平台,云简VPN方案依托云简网络平台,采用Hub-Spoke方式建立VPN专属隧道。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
批量创建分支VPN的方式只能针对同一款型设备配置,仅适用于多个场所设备型号相同的场景。
分支到中心采用Hub-Spoke组网,其中中心作为Hub站点,各分支作为Spoke站点。分支1使用一条有线链路和一条4G/5G备份链路接入中心,分支2和分支3使用两条有线链路接入中心。可根据实际业务需求在中心和各分支之间建立云简VPN隧道,由云简网络平台实现中心分支之间在线业务的安全保护。本次配置以中心和分支1之间建立云简VPN隧道为例,要求:
· 中心和分支1之间建立两条VPN隧道。
· 分支1和中心建立的两条VPN隧道互为主备关系,当主隧道断开时,可以切换到备隧道,不影响业务。
图1 云简VPN配置组网图
为实现如上组网需求,可采用如下配置思路实现:
(1) 在中心上创建两个中心VPN,分别配置两个中心VPN的VPN域优先级,通过调整VPN域优先级来实现主备关系。
(2) 在分支1上创建两个分支VPN,分别配置两个分支VPN的出接口和VPN域,使得分支1和中心建立的两条VPN隧道互为备份。
本举例是在R202209版本的云简网络平台和ESS 6749版本的MSR810-10-PoE上进行配置和验证的。
· 建立云简VPN隧道的中心VPN和分支VPN需要使用相同的VPN域。
· VPN域只有在中心VPN上配置完后才能被分支VPN选择。
· VPN域优先级数值越小,则VPN域优先级越高。
(1) 在PC浏览器上输入https://oasis.h3c.com/,进入云简网络页面。如图2所示,在登录界面输入云简账号的用户名和口令后点击<登录>按钮进行登录,本次配置以用户名admin为例。
图2 H3C云简网络页面
(2) 登录云简网络平台后,如图3所示,在[网络管理]页签下选择[配置/路由器/VPN配置],进入云简VPN配置界面。
图3 云简VPN配置界面
(1) 如图4所示,点击[中心VPN],进入中心VPN界面。点击<增加(云管VPN场景)>按钮,进入增加中心VPN配置界面。
图4 中心VPN界面
(2) 如图5所示,在增加中心VPN配置界面,必须配置的参数为带红色星号的参数,包括“设备名称”、“出接口”、“VPN域”和“Tunnel地址范围”。点击<高级设置+>选项,即可打开增加中心VPN的详细界面。
(3) 如图6所示,在增加中心VPN详细界面里,“高级设置”中必配参数为带红色星号的参数,包括“预共享密钥”、“域优先级”、“BGP AS号”、“IKE提议”和“IPsec策略”。
图6 增加中心VPN详细界面
(4) 如图7所示,在增加中心VPN详细界面进行如下中心VPN1的配置:
a. 在“设备名称”处选择中心设备,本例中为“MSR810-10-POE”。
b. 在“出接口”处选择中心设备的出接口,本例中为“GigabitEthernet0/3”。
c. 在“VPN域”处设置中心VPN的VPN域名称,本例中为“test001”。
d. 在“Tunnel地址范围”处设置Tunnel地址,本例中为“80.10.0.0/24”。
e. 在“预共享密钥”处设置预共享密钥,本例中为“aabbcc”。
f. 在“域优先级”处设置VPN域的优先级数值,数值越小,优先级越高。本例中为“180”。
g. “BGP AS号”、“IKE提议”、“IPsec策略”、“Tunnel接口号”、“Tunnel源端口”和“分支VPN认证”均采用默认配置。本例中BGP AS号为65319,IKE提议和IPsec策略均采用default配置,默认不配置Tunnel接口号和Tunnel源端口,默认不采用分支VPN认证。
h. 点击<应用>按钮,完成并应用中心VPN1配置。
(5) 完成并应用中心VPN1配置后,如图8所示,在中心VPN界面显示出中心VPN1的应用状态。
图8 中心VPN1应用状态
创建中心VPN2的配置步骤与“创建中心VPN1”一致,具体参数配置略。
(1) 如图9所示,点击[分支VPN],进入分支VPN界面。点击<增加(云管VPN场景)>按钮,进入增加分支VPN配置界面。
图9 分支VPN界面-逐个创建分支VPN
(2) 如图10所示,在增加分支VPN配置界面,必须配置的参数为带红色星号的参数,包括“设备名称”、“出接口”、“VPN域”、“私网接口”、上网方式选择和是否开启质量探测。点击<高级设置+>选项,即可打开增加分支VPN的详细界面。
(3) 如图11所示,在增加分支VPN详细界面里,“高级设置”中的参数为选配参数,可以不配置,也可以根据实际需求自定义输入。
图11 增加分支VPN详细界面
(4) 如图12所示,在增加分支VPN详细界面进行如下分支VPN1的配置:
a. 在“设备名称”处选择分支设备,本例中为“810”。
b. 在“出接口”处选择分支设备的出接口,本例中为“GigabitEthernet0/4”。
c. 在“VPN域”处选择中心VPN配置的VPN域,本例中为“test001”。
d. 在“私网接口地址”处选择分支设备的私网接口,本例中为“Vlan-interface2;Vlan-interface3;Vlan-interface4;Vlan-interface20;Vlan-interface1”。
e. 选择“本地上网”时,分支只将VPN的流量转发给中心VPN;选择“总部集中上网”时,分支将所有流量转发给中心VPN。本例中选择为“本地上网”,具体以实际情况为准。
f. “高级设置”中的参数采用默认配置。
g. 点击<应用>按钮,完成并应用分支VPN1配置。
(5) 完成并应用分支VPN1配置后,如图13所示,在分支VPN界面显示出分支VPN1的应用状态。
图13 分支VPN1应用状态
逐个创建分支VPN2的配置步骤与“逐个创建分支VPN1”一致,具体参数配置略。
批量创建分支VPN的方式只能针对同一款型设备进行批量配置。点击批量增加按钮,首先需要选择要配置的场所,因为默认每个场所都是只有一台路由器的,选择场所则相当于选择对应的路由器。
(1) 如图14所示,点击[分支VPN],进入分支VPN界面。点击<批量增加(云管VPN场景)>按钮,进入批量增加分支VPN界面。
图14 分支VPN界面-批量创建分支VPN
(2) 如图15所示,在批量增加分支VPN界面选择需要配置的场所后,点击<下一步>按钮,即可进入批量增加分支VPN配置界面。
(3) 如图16所示,在批量增加分支VPN配置界面,必须配置的参数为带红色星号的参数,包括“出接口1”、“VPN域”、“私网接口”、上网方式选择和是否开启质量探测。点击<高级设置+>选项,即可打开批量增加分支VPN详细界面。
图16 批量增加分支VPN配置界面
(4) 如图17所示,在批量增加分支VPN详细界面里,“高级设置”中的参数为选配参数,可以不配置,也可以根据实际需求自定义输入。
图17 批量增加分支VPN详细界面
(5) 如图18所示,在批量增加分支VPN详细界面进行如下分支VPN配置:
a. 在“出接口1”处选择分支设备的出接口,本例中为“GigabitEthernet0/4”。
b. 在“VPN域”处选择中心VPN配置的VPN域,本例中为“test001”。
c. 在“私网接口地址”处选择分支设备的私网接口,本例中为“Vlan-interface2;Vlan-interface3;Vlan-interface4;Vlan-interface20;Vlan-interface1”。
d. 选择“本地上网”时,分支只将VPN的流量转发给中心VPN;选择“总部集中上网”时,分支将所有流量转发给中心VPN。本例中选择为“本地上网”,具体以实际情况为准。
e. “高级设置”中的参数采用默认配置。
f. 点击<应用>按钮,完成并应用分支VPN配置。
(1) 如图19所示,在云简VPN界面,点击[高级+],即可展开云简VPN高级配置界面。
(2) 如图20所示,在云简VPN高级配置界面可以进行自定义VPN配置,包括自定义VPN账号、自定义IKE提议和自定义IPsec策略。点击[VPN账号]页签,即可进入VPN账号配置界面。
图20 云简VPN高级配置界面
(3) 如图21所示,在VPN账号界面,点击<+增加>按钮,进入增加VPN账号界面。
图21 VPN账号界面
(4) 如图22所示,在增加VPN账号界面进行如下自定义VPN账号配置:
a. 在“用户名”处设置VPN账号的名称,本例中为“test”。
b. 在“密码”处设置该VPN账号的密码,具体以实际情况为准,本例中为“123456”。
c. 在“确认密码”处重复输入在“密码”处配置的VPN账号密码,本例中为“123456”。
d. “备注”属于可选配置,具体配置以实际情况为准,在本例中默认不对“备注”进行配置。
e. 点击<确定>按钮,即可完成并保存该VPN账号配置。
图22 增加VPN账号界面
(5) 如图23所示,在VPN账号界面,勾选(4)中配置的VPN账号,点击<写入设备>按钮,即可进行VPN账号写入中心设备的配置。
图23 VPN账号界面
(6) 如图24所示,在选择场所界面,在“场所”处选择需要将VPN账号写入中心设备的场所,点击<确定>按钮后会出现如(7)图25所示的写入设备提示框。
(7) 如图25所示,在写入设备提示框里点击<确定>按钮后即可执行将VPN账号写入被选择场所的中心设备。
(8) 执行将VPN账号写入被选择场所的中心设备后,云简网络平台会出现如图26所示的写入设备成功提示。
(9) 将自定义的VPN账号写入中心设备后,在创建中心VPN时,可以在中心VPN上选择对分支VPN进行认证。如图27所示,在“分支VPN认证”处勾选“是”,即可配置中心VPN对分支VPN进行认证。
图27 中心VPN设置分支VPN认证
(10) 在中心VPN设置了对分支VPN认证后,在创建分支VPN时,增加分支VPN界面新增两个带红色星号的必配参数:“认证用户”和“认证密码”。如图28所示,进行如下分支VPN认证配置:
a. 在“认证用户”处输入写入中心设备的VPN账号名称,本例中为“test”。
b. 在“认证密码”处输入写入中心设备的VPN账号密码,本例中为“123456”。
c. 点击<应用>按钮,分支VPN认证通过后即可成功建立VPN隧道。
图28 分支VPN进行认证
(1) 如图29所示,在云简VPN界面,点击[高级+],即可展开云简VPN高级配置界面。
(2) 如图30所示,在云简VPN高级配置界面可以进行自定义VPN配置,包括自定义VPN账号、自定义IKE提议和自定义IPsec策略。点击[IKE提议]页签,即可进入IKE提议配置界面。
图30 云简VPN高级配置界面
(3) 如图31所示,在IKE提议界面,能看到存在一个IKE提议默认的default模板。默认default模板里IKE使用的加密算法为AES-CBC-256,认证算法为SHA1,DH组为DH group1。点击<+增加>按钮,即可进入增加IKE提议界面。
图31 IKE提议界面
(4) 如图32所示,在增加IKE提议界面进行如下自定义IKE提议配置:
a. 在“提议名称”处设置IKE提议的名称,本例中为“test”。
b. 在“加密算法”处设置该IKE提议的加密算法,可供选择的加密算法包括:DES-CBC、DES-3DES、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中设置的加密算法为AES-CBC-192。
c. 在“认证算法”处设置该IKE提议的认证算法,可供选择的加密算法包括:SHA1、MD5、SHA256、SHA384和SHA512。本例中设置的认证算法为SHA256。
d. 在“DH组”处设置该IKE提议的DH组,可供选择的DH组包括:DH group1、DH group2、DH group5、DH group14和DH group24。本例中设置的DH组为DH group2。
e. 点击<确定>按钮,即可完成并保存该IKE提议配置。
图32 增加IKE提议界面
(5) 保存新增IKE提议后,云简网络平台会出现如图33所示的增加IKE提议成功提示。
图33 增加IKE提议成功提示
(6) 新增IKE提议成功后,在创建中心VPN时,可以在中心VPN上选择自定义配置的IKE提议。如图34所示,在“IKE提议”处选择自定义配置的IKE提议,本例中为“test”。
图34 中心VPN采用自定义IKE提议
(1) 如图35所示,在云简VPN界面,点击[高级+],即可展开云简VPN高级配置界面。
(2) 如图36所示,在云简VPN高级配置界面可以进行自定义VPN配置,包括自定义VPN账号、自定义IKE提议和自定义IPsec策略。点击[IPsec策略]页签,即可进入IPsec策略配置界面。
图36 云简VPN高级配置界面
(3) 如图37所示,在IPsec策略界面,能看到存在一个IPsec策略默认的default模板。默认default模板里IPsec策略使用的安全模式为ESP,ESP认证算法为MD5,ESP加密算法为AES-CBC-256。点击<+增加>按钮,即可进入增加IPsec策略界面。
图37 IPsec策略界面
(4) 如图38所示,在增加IPsec策略界面进行如下自定义IPsec策略配置:
a. 在“策略名称”处设置IPsec策略的名称,本例中为“test”。
b. 在“安全模式”处设置该IPsec策略的安全模式,可供选择的安全模式包括:ESP、AH和ESP+AH。其中AH模式不支持NAT穿越,如果实际网络中有NAT网关,建议安全模式选用ESP模式。本例中设置的安全模式为ESP。
c. 在“ESP认证算法”处设置该IPsec策略的ESP认证算法,可供选择的ESP认证算法包括:MD5、SHA1、SHA256、SHA384和SHA512。本例中设置的ESP认证算法为SHA1。
d. 在“ESP加密算法”处设置该IPsec策略的ESP加密算法,可供选择的ESP加密算法包括:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中设置的ESP加密算法为AES-CBC-128。
e. 在“PFS”处设置PFS特性,本例中设置为“否”,即不使用PFS特性。
f. 点击<确定>按钮,即可完成并保存该IPsec策略配置。
图38 增加IPsec策略界面
(5) 保存新增IPsec策略后,云简网络平台会出现如图39所示的增加IPsec策略成功提示。
图39 增加IPsec策略成功提示
(6) 新增IPsec策略成功后,在创建中心VPN时,可以在中心VPN上选择自定义配置的IPsec策略。如图40所示,在“IPsec策略”处选择自定义配置的IPsec策略,本例中为“test”。
图40 中心VPN采用自定义IPsec策略
(1) 如图41所示,在[网络管理]页签下选择[消息/告警日志],进入告警日志界面。点击<告警订阅>页签即可进入告警订阅界面。
(2) 如图42所示,在告警订阅界面,能看到存在一条默认告警策略,默认策略里告警推送方式为“不推送”。点击<+增加>按钮,即可进入增加告警策略界面。
(3) 如图43所示,在增加告警策略界面,必须配置的参数为带红色星号的参数,包括“名称”、“告警方式”、“推送时间”、“维护窗口”、“告警账户”和“告警明细”。
(4) 如图44所示,在增加告警策略界面进行如下自定义告警策略配置:
a. 在“名称”处设置告警策略的名称,本例中为“VPN状态”。
b. 在“告警方式”处设置告警策略的告警方式,可供选择的告警方式包括:微信告警、企业微信告警(机器人)、钉钉告警(机器人)、飞书告警(机器人)、企业微信告警(定向)、钉钉告警(定向)、飞书告警(定向)、邮件告警、短信告警和仅显示不推送。本例中设置的告警方式为微信告警。
c. 在“推送时间”处进行告警推送的时间设置。本例中设置告警推送时间为周一至周五、周六和周日的00:00~23:59。
d. 在“维护窗口”处可进行维护窗口配置。本例中设置关闭维护窗口。
e. 在“告警账户”处可选择告警账户,在“可选告警账户”框内勾选需要选择告警的账户,点击< › >按钮将其添加至“已选告警账户”内。
(5) 如图45所示,在“告警明细”区段下的“路由器”一栏,勾选“vpn隧道状态告警”,告警级别设置为“紧急”。
(6) 完成并保存上述自定义告警策略配置后,云简网络平台会出现如图46所示的告警策略操作成功界面。当VPN隧道发生断开或者连接时,云简网络平台都可以及时发出告警消息通知。
以上配置完成后,中心和分支会建立VPN隧道。可通过云简网络平台查看VPN隧道状态。
(1) 如图47所示,在云简VPN配置界面点击[VPN监控]页签,进入VPN监控界面。在“操作”框内可以查看VPN隧道详情、重置VPN和查看VPN链路质量。
图47 VPN监控界面
(2) 如图48所示,点击“详情”图标,即可打开如图49所示的详情界面查看VPN隧道详情。
图48 查看VPN隧道详情
(3) 如图50所示,点击“链路质量”图标,即可进入链路质量界面查看VPN链路质量。
图50 查看VPN链路质量
(4) 在链路质量界面,能查看如图51所示的VPN链路的速率、丢包率、时延,同时也能查看如图52所示的VPN链路抖动。
图52 VPN链路抖动
· “安全配置指导”中的“IPsec”
· “安全命令参考”中的“IPsec”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
