- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
51-云简VPN典型配置举例
本章节下载: 51-云简VPN典型配置举例 (1.46 MB)
本文档介绍云简VPN典型配置。
云简网络平台是应互联网+要求建立的新IT在线运营平台,云简VPN方案依托云简网络平台,采用Hub-Spoke方式建立VPN专属隧道。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
批量创建分支VPN的方式只能针对同一款型设备配置,仅适用于多个场所设备型号相同的场景。
分支到中心采用Hub-Spoke组网,其中中心作为Hub站点,各分支作为Spoke站点。分支1使用一条有线链路和一条4G/5G备份链路接入中心,分支2和分支3使用两条有线链路接入中心。可根据实际业务需求在中心和各分支之间建立云简VPN隧道,由云简网络平台实现中心分支之间在线业务的安全保护。本次配置以中心和分支1之间建立云简VPN隧道为例,要求:
· 中心和分支1之间建立两条VPN隧道。
· 分支1和中心建立的两条VPN隧道互为主备关系,当主隧道断开时,可以切换到备隧道,不影响业务。
图4-1 云简VPN配置组网图
为实现如上组网需求,可采用如下配置思路实现:
(1) 在中心上创建两个中心VPN,分别配置两个中心VPN的VPN域优先级,通过调整VPN域优先级来实现主备关系。
(2) 在分支1上创建两个分支VPN,分别配置两个分支VPN的出接口和VPN域,使得分支1和中心建立的两条VPN隧道互为备份。
本举例是在R202404版本的云简网络平台和R9141P16版本的MSR2630E-X1上进行配置和验证的。
· 建立云简VPN隧道的中心VPN和分支VPN需要使用相同的VPN域。
· VPN域只有在中心VPN上配置完后才能被分支VPN选择。
· VPN域优先级数值越小,则VPN域优先级越高。
(1) 在PC浏览器上输入https://oasis.h3c.com/,进入云简网络页面。如图4-2所示,在登录界面输入云简账号的用户名和口令后点击<登录>按钮进行登录,本次配置以用户名admin为例。
图4-2 H3C云简网络页面
(2) 登录云简网络平台后,如图4-3所示,在[网络管理]页签下选择[配置/路由器/VPN配置],进入云简VPN界面。
(1) 在云简VPN界面点击[中心VPN]页签,进入如图4-4所示的中心VPN界面。点击<增加(云管VPN场景)>按钮,进入增加中心VPN界面。
(2) 如图4-5所示,在增加中心VPN界面,必须配置的参数为带红色星号的参数,包括“设备名称”、“出接口”、“VPN域”和“Tunnel地址范围”。点击<高级设置+>选项,即可打开增加中心VPN详细界面。
(3) 如图4-6所示,在增加中心VPN详细界面里,“高级设置”中必配参数为带红色星号的参数,包括“预共享密钥”、“域优先级”、“BGP AS号”、“IKE提议”和“IPsec策略”。
在增加中心VPN详细界面进行如下中心VPN1的配置:
a. 在“设备名称”处选择中心设备。
b. 在“出接口”处选择中心设备的出接口。
c. 在“VPN域”处设置中心VPN的VPN域名称。
d. 在“Tunnel地址范围”处设置Tunnel地址。
e. 在“预共享密钥”处设置预共享密钥。
f. 在“域优先级”处设置VPN域的优先级数值,数值越小,优先级越高。
g. “BGP AS号”、“IKE提议”、“IPsec策略”、“Tunnel接口号”、“Tunnel源端口”和“分支VPN认证”均采用默认配置。
h. 点击<应用>按钮,完成并应用中心VPN1配置。
图4-6 增加中心VPN详细界面
(4) 完成并应用中心VPN1配置后,可在中心VPN界面查看中心VPN1的应用状态。
创建中心VPN2的配置步骤与“创建中心VPN1”一致,具体配置过程略。
(1) 在云简VPN界面点击[分支VPN]页签,进入如图4-7所示的分支VPN界面。
(2) 点击<增加(云管VPN场景)>按钮,进入如图4-8所示的增加分支VPN界面。在增加分支VPN界面,必须配置的参数为带红色星号的参数,包括“设备名称”、“出接口”、“VPN域”、“私网接口”、上网方式选择和是否开启质量探测。点击<高级设置+>选项,即可打开增加分支VPN详细界面。
(3) 如图4-9所示,在增加分支VPN详细界面里,“高级设置”中的参数为选配参数,可以不配置,也可以根据实际需求自定义输入。
在增加分支VPN详细界面进行如下分支VPN1的配置:
a. 在“设备名称”处选择分支设备。
b. 在“出接口”处选择分支设备的出接口。
c. 在“VPN域”处选择中心VPN配置的VPN域。
d. 在“私网接口地址”处选择分支设备的私网接口。
e. 选择“本地上网”时,分支只将VPN的流量转发给中心VPN;选择“总部集中上网”时,分支将所有流量转发给中心VPN。具体以实际情况为准。
f. “高级设置”中的参数采用默认配置。
g. 点击<应用>按钮,完成并应用分支VPN1配置。
图4-9 增加分支VPN详细界面
(4) 完成并应用分支VPN1配置后,可在分支VPN界面查看分支VPN1的应用状态。
逐个创建分支VPN2的配置步骤与“逐个创建分支VPN1”一致,具体配置过程略。
批量创建分支VPN的方式只能针对同一款型设备进行批量配置。点击批量增加按钮,首先需要选择要配置的场所,因为默认每个场所都是只有一台路由器的,选择场所则相当于选择对应的路由器。
(1) 在云简VPN界面点击[分支VPN]页签,进入分支VPN界面。点击<批量增加(云管VPN场景)>按钮,进入如图4-10所示的批量增加分支VPN界面。在批量增加分支VPN界面选择需要配置的场所后,点击<下一步>按钮,即可进入批量增加分支VPN配置界面。
(2) 如图4-11所示,在批量增加分支VPN配置界面,必须配置的参数为带红色星号的参数,包括“出接口1”、“VPN域”、“私网接口”、上网方式选择和是否开启质量探测。点击<高级设置+>选项,即可打开批量增加分支VPN详细界面。
图4-11 批量增加分支VPN配置界面
(3) 如图4-12所示,在批量增加分支VPN详细界面里,“高级设置”中的参数为选配参数,可以不配置,也可以根据实际需求自定义输入。
在批量增加分支VPN详细界面进行如下分支VPN配置:
a. 在“出接口1”处选择分支设备的出接口。
b. 在“VPN域”处选择中心VPN配置的VPN域。
c. 在“私网接口地址”处选择分支设备的私网接口。
d. 选择“本地上网”时,分支只将VPN的流量转发给中心VPN;选择“总部集中上网”时,分支将所有流量转发给中心VPN。
e. “高级设置”中的参数采用默认配置。
f. 点击<应用>按钮,完成并应用分支VPN配置。
图4-12 批量增加分支VPN详细界面
(1) 在云简VPN界面,点击[VPN账号]页签,进入如图4-13所示的VPN账号界面。
图4-13 VPN账号界面
(2) 在VPN账号界面,点击<增加>按钮,进入如图4-14所示的增加VPN账号界面。在增加VPN账号界面进行如下自定义VPN账号配置:
a. 在“用户名”处设置VPN账号的名称,本例中为“test”。
b. 在“密码”处设置该VPN账号的密码。
c. 在“确认密码”处重复输入在“密码”处配置的VPN账号密码。
d. “备注”属于可选配置,具体配置以实际情况为准。
e. 点击<确定>按钮,即可完成并保存该VPN账号配置。
图4-14 增加VPN账号界面
(3) 如图4-15所示,在VPN账号界面,勾选已配置的VPN账号,点击<写入设备>按钮,即可进行VPN账号写入中心设备的配置。
图4-15 VPN账号界面
(4) 如图4-16所示,在选择场所界面,在“场所”处选择需要将VPN账号写入中心设备的场所,再点击<确定>按钮。
(5) 如图4-17所示,在写入设备提示框里点击<确定>按钮后即可执行将VPN账号写入被选择场所的中心设备。
(6) 将自定义的VPN账号写入中心设备后,在创建中心VPN时,可以在中心VPN上选择对分支VPN进行认证。如图4-18所示,在“分支VPN认证”处勾选“是”,即可配置中心VPN对分支VPN进行认证。
图4-18 中心VPN设置分支VPN认证
(7) 在中心VPN设置了对分支VPN认证后,在创建分支VPN时,增加分支VPN界面会新增两个带红色星号的必配参数:“认证用户”和“认证密码”。如图4-19所示,进行如下分支VPN认证配置:
a. 在“认证用户”处输入写入中心设备的VPN账号名称。
b. 在“认证密码”处输入写入中心设备的VPN账号密码。
c. 点击<应用>按钮,分支VPN认证通过后即可成功建立VPN隧道。
图4-19 分支VPN进行认证
(1) 在云简VPN界面,点击[IKE提议]页签,即可进入如图4-20所示的IKE提议界面。在IKE提议界面,能看到存在一个IKE提议默认的default模板。默认default模板里IKE使用的加密算法为AES-CBC-256,认证算法为SHA1,DH组为DH group1。
图4-20 IKE提议界面
(2) 在IKE提议界面,点击<增加>按钮,进入如图4-21所示的增加IKE提议界面。在增加IKE提议界面进行如下自定义IKE提议配置:
a. 在“提议名称”处设置IKE提议的名称,本例中为“test”。
b. 在“加密算法”处设置该IKE提议的加密算法,可供选择的加密算法包括:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中设置的加密算法为AES-CBC-192。
c. 在“认证算法”处设置该IKE提议的认证算法,可供选择的加密算法包括:SHA1、MD5、SHA256、SHA384和SHA512。本例中设置的认证算法为SHA256。
d. 在“DH组”处设置该IKE提议的DH组,可供选择的DH组包括:DH group1、DH group2、DH group5、DH group14和DH group24。本例中设置的DH组为DH group2。
e. 点击<确定>按钮,即可完成并保存该IKE提议配置。
图4-21 增加IKE提议界面
(3) 新增IKE提议成功后,在创建中心VPN时,可以在中心VPN上选择自定义配置的IKE提议。如图4-22所示,在“IKE提议”处选择自定义配置的IKE提议,本例中为“test”。
图4-22 中心VPN采用自定义IKE提议
(1) 在云简VPN界面,点击[IPsec策略]页签,即可进入如图4-23所示的IPsec策略界面。在IPsec策略界面,能看到存在一个IPsec策略默认的default模板。默认default模板里IPsec策略使用的安全模式为ESP,ESP认证算法为MD5,ESP加密算法为AES-CBC-256。
图4-23 IPsec策略界面
(2) 在IPsec策略界面,点击<+增加>按钮,即可进入如图4-24所示的增加IPsec策略界面。在增加IPsec策略界面进行如下自定义IPsec策略配置:
a. 在“策略名称”处设置IPsec策略的名称,本例中为“test”。
b. 在“安全模式”处设置该IPsec策略的安全模式,可供选择的安全模式包括:ESP、AH和ESP+AH。其中AH模式不支持NAT穿越,如果实际网络中有NAT网关,建议安全模式选用ESP模式。本例中设置的安全模式为ESP。
c. 在“ESP认证算法”处设置该IPsec策略的ESP认证算法,可供选择的ESP认证算法包括:MD5、SHA1、SHA256、SHA384和SHA512。本例中设置的ESP认证算法为SHA1。
d. 在“ESP加密算法”处设置该IPsec策略的ESP加密算法,可供选择的ESP加密算法包括:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中设置的ESP加密算法为AES-CBC-128。
e. 在“PFS”处设置PFS特性,本例中设置为“否”,即不使用PFS特性。
f. 点击<确定>按钮,即可完成并保存该IPsec策略配置。
图4-24 增加IPsec策略界面
(3) 新增IPsec策略成功后,在创建中心VPN时,可以在中心VPN上选择自定义配置的IPsec策略。如图4-25所示,在“IPsec策略”处选择自定义配置的IPsec策略,本例中为“test”。
图4-25 中心VPN采用自定义IPsec策略
(1) 如图4-26所示,在[网络管理]页签下选择[消息/告警日志],进入告警日志界面。
(2) 点击[告警订阅]页签,进入如图4-27所示的告警订阅界面。在告警订阅界面能看到存在一条默认告警策略,默认策略里告警推送方式为“不推送”。
(3) 点击<增加>按钮,进入如图4-28所示的增加告警策略界面。在增加告警策略界面,必须配置的参数为带红色星号的参数,包括“名称”、“告警方式”、“推送时间”、“维护窗口”和“告警账户”。
在增加告警策略界面进行如下自定义告警策略配置:
a. 在“名称”处设置告警策略的名称。
b. 在“告警方式”处设置告警策略的告警方式。
c. 在“推送时间”处进行告警推送的时间设置。
d. 在“维护窗口”处选择开启或关闭维护窗口。
e. 在“告警账户”处选择告警账户,在“可选告警账户”框内勾选需要选择告警的账户,点击< › >按钮将其添加至“已选告警账户”内。
(4) 如图4-29所示,在“告警明细”区段下的“路由器”一栏,勾选“vpn隧道状态告警”,告警级别设置为“紧急”。点击<确定>按钮,完成并保存自定义告警策略配置。
以上配置完成后,中心和分支会建立VPN隧道。在云简VPN界面可以通过点击[VPN监控]页签查看VPN隧道状态。
· 《H3C MSR1000[2600][3600]路由器 配置指导(V9)》中的“安全配置指导”
· 《H3C MSR1000[2600][3600]路由器 命令参考(V9)》中的“安全命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
