- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-H3C无线控制器云简网络VPN典型配置举例
本章节下载: 01-H3C无线控制器云简网络VPN典型配置举例 (820.85 KB)
H3C无线控制器云简网络VPN典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
4.1 云简VPN场景(中心VPN和分支VPN必须是云简网络纳管设备)
4.2 标准IPsec场景(中心VPN为未纳管设备,分支VPN为纳管设备)
4.3 标准IPsec场景(中心VPN为纳管设备,分支VPN为未纳管设备)
云简网络VPN依托云平台,采用Hub-Spoke方式建立VPN专属隧道,保证在线业务的安全性。
· 中心-Hub设备:数据中心或者企业总部局域网的接入设备,作为VPN分支的中心的终结设备。建议同一组网中,将所有Hub设备加入一个场景。目前云简网络同一个组网支持两个Hub设备。
· 分支-Spoke设备:各个分支的接入设备,为VPN的发起设备。建议同一组网中,将网络位置类似的Spoke设备加入同一个场景。
· VPN域:云简网络VPN提供在同一个用户视图可共享的VPN域,此VPN域由Hub设备设定,固定的Tunnel地址范围、预置共享密钥、域优先级、IKE安全提议参数、IPsec策略模式以及算法,一旦设定不能修改。
· 云简VPN场景:为已纳管的H3C设备之间建立VPN隧道,可配置中心-Hub设备、分支-Spoke设备。
· 标准IPsec场景:为未纳管的设备(包含第三方设备)和已纳管的设备之间建立VPN隧道,可配置中心-Hub设备、分支-Spoke设备。
图1 云简网络VPN组网结构
登录云简网络并进入网络管理页面后,在左侧导航栏中选择“配置 > AC > 网络 > VPN配置”,进入VPN配置页面。
点击“VPN监控”页签,进入VPN监控页面查看VPN隧道信息,以单个VPN隧道为单位显示。VPN隧道建立在两台设备之间,只要VPN隧道的任意一端在选定分支(或场所)内,就能加载该VPN隧道。
· 点击页面左上角的<刷新>按钮可更新当前VPN隧道信息。
· 点击VPN隧道信息右侧的详情按钮
,可以显示VPN隧道详情。
· 点击VPN隧道信息右侧的重置VPN按钮
,重新协商IKE提议和IPsec策略。
· 点击VPN隧道信息右侧的链路质量按钮
,可以以图表方式查看隧道的链路速率、丢包率、时延和抖动信息
· VPN状态显示为绿色表示正常、红色表示异常。
图2 VPN监控
图3 VPN详情
图4 链路质量
本文档适用于使用Comware软件版本的无线控制器产品,不严格与具体软硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解ADVPN、IPsec相关特性。
· 目前仅WX2510H、WX2540H、WX2560H、WX3508H、WX3510H、WX3520H、LSUM1WCME0、EWPXM1WCME0、LSQM1WCMX20、LSUM1WCMX20RT、LSQM1WCMX40、LSUM1WCMX40RT、EWPXM2WCMD0F和EWPXM1MAC0F支持本特性。
· Hub和Spoke需处于网关所在位置,私网网段的DHCP等相关配置不支持通过云简网络自动下发,需按照实际组网需求完成私网配置。
在Hub和Spoke之间建立一条VPN隧道,对Host A所在的子网(11.1.1.0/24)与Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。
图5 云简VPN场景
(1) 点击“中心VPN”页签,然后点击<增加(云简VPN场景)>按钮,进入“增加中心VPN”页面;
(2) 增加中心VPN,配置如下:
¡ 出接口选择公网接口,连接WAN则选WAN口,否则选择对应VLAN接口;
¡ 输入WAN口IP地址或者对应VLAN接口IP地址;
¡ 输入与现有不重复的VPN域名(此处是创建);
¡ 输入与现有不重复的tunnel地址范围;
¡ 输入需要通信的私网地址段,多个地址段需要用逗号隔开;
¡ 其它参数可采用缺省配置;
¡ 点击<保存>按钮保存VPN配置,点击<应用>按钮,保存并向设备下发VPN配置。
图6 增加中心VPN
(1) 点击“分支VPN”页签,然后点击<增加(云简VPN场景)>按钮,进入“增加分支VPN”页面;
(2) 增加分支VPN,配置如下:
¡ 出接口选择公网接口,连接WAN则选WAN口,否则选择对应VLAN接口;
¡ 选择需要建立隧道的中心VPN的VPN域;
¡ 选择需要通信的私网地址段;
¡ 其它参数可采用缺省配置;
¡ 点击<保存>按钮保存VPN配置,点击<应用>按钮,保存并向设备下发VPN配置。
图7 增加分支VPN
中心VPN和分支VPN私网地址段可以相互ping通。
在Hub和Spoke之间建立一条VPN隧道,对Host A所在的子网(3.3.3.0/24)与Host B所在的子网(11.1.1.0/24)之间的数据流进行安全保护。
图8 云简VPN场景
(1) 点击“中心VPN”页签,然后点击<增加(标准IPsec场景)>按钮,进入“增加中心VPN”页面;
(2) 点击“第三方设备”页签,配置如下:
¡ 设备名称;
¡ 预共享密钥AE80DBE4494433EC;
¡ 公网地址;
¡ VPN域为test99;
¡ 中心FQDN为test999;
¡ 其它参数可采用缺省配置;
¡ 点击<保存>按钮保存配置。
图9 中心VPN第三方设备
(3) 中心VPN为未纳管设备,命令行配置如下:(其它厂商的第三方设备请使用相关功能对应的配置)
interface Vlan-interface1
ip address 192.168.106.40 255.255.255.0
ipsec apply policy test99
ipsec transform-set test99
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm md5
ipsec policy-template test99 1
transform-set test99
ike-profile 0000CloudNetIpsecSceneProfile
reverse-route dynamic
ipsec policy test99 1 isakmp template test99
ike profile 0000CloudNetIpsecSceneProfile
keychain 0000CloudNetIpsecSceneKeyChain
dpd interval 10 retry 3 periodic
exchange-mode aggressive
local-identity fqdn test999
match remote identity domain test99
proposal 25530
ike proposal 25530
encryption-algorithm aes-cbc-256
ike keychain 0000CloudNetIpsecSceneKeyChain
pre-shared-key address 0.0.0.0 0.0.0.0 key simple AE80DBE4494433EC
(1) 点击“分支VPN”页签,然后点击<增加(标准IPsec场景)>按钮,进入“增加分支VPN”页面;
(2) 点击“已纳管设备”页签,配置如下:
¡ 设备名称和出接口;
¡ VPN域为test99;
¡ 分支FQDN为test99;
¡ VPN保护的业务流量为11.1.1.0/24子网和3.3.3.0/24子网的流量;
¡ 其它参数可采用缺省配置;
¡ 点击<保存>按钮保存VPN配置,点击<应用>按钮,保存并向设备下发VPN配置。
图10 分支VPN已纳管设备
VPN保护的业务流量两端可以互相ping通,配置成功。
在Hub和Spoke之间建立一条VPN隧道,对Host A所在的子网(11.1.1.0/24)与Host B所在的子网(8.8.8.0/24)之间的数据流进行安全保护。
图11 云简VPN场景
(1) 点击“中心VPN”页签,然后点击<增加(标准IPsec场景)>按钮,进入“增加中心VPN”页面;
(2) 点击“已纳管设备”页签,配置如下:
¡ 设备名称和出接口;
¡ 公网地址;
¡ VPN域为test56(注意区分大小写);
¡ 中心FQDN为test556(注意区分大小写);
¡ 预共享密钥:AE80DBE4494433EC;
¡ 其它参数可采用缺省配置;
¡ 点击<保存>按钮保存VPN配置,点击<应用>按钮,保存并向设备下发VPN配置。
图12 中心VPN已纳管设备
(1) 点击“分支VPN”页签,然后点击<增加(标准IPsec场景)>按钮,进入“增加分支VPN”页面;
(2) 点击“第三方设备”页签,配置如下:
¡ 设备名称;
¡ VPN域为test56;
¡ 分支FQDN为test556;
¡ 点击<保存>按钮保存配置。
图13 分支VPN第三方设备
(3) 分支VPN为未纳管设备,命令行配置如下:(其它厂商的第三方设备请使用相关功能对应的配置)
interface Tunnel10000 mode ipsec
ip address 112.0.0.50 255.255.255.0
source GigabitEthernet1/0/5
destination 192.168.106.193
tunnel protection ipsec profile test56 acl name cloudNet-test56
ip route-static 11.1.1.0 24 Tunnel10000
acl advanced name cloudNet-test56
rule 0 permit ip source 8.8.8.0 0.0.0.255 destination 11.1.1.0 0.0.0.255
ipsec transform-set test56
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm md5
ipsec profile test56 isakmp
transform-set test56
ike-profile test56
ike profile test56
keychain 0000CloudNetIpsecSceneKeyChain
dpd interval 10 retry 3 periodic
exchange-mode aggressive
local-identity fqdn test556.test56
proposal 18513
ike proposal 18513
encryption-algorithm aes-cbc-256
ike keychain 0000CloudNetIpsecSceneKeyChain
pre-shared-key address 192.168.106.193 255.255.255.255 key simple AE80DBE4494433EC
中心VPN和分支VPN私网网段可以相互ping通,配置成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
