- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
113-H3C無線控製器雲簡網絡VPN典型配置舉例(V7)
本章節下載: 113-H3C無線控製器雲簡網絡VPN典型配置舉例(V7) (802.01 KB)
H3C無線控製器雲簡網絡VPN典型配置舉例
Copyright © 2023 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
4.1 雲簡VPN場景(中心VPN和分支VPN必須是雲簡網絡納管設備)
4.2 標準IPsec場景(中心VPN為未納管設備,分支VPN為納管設備)
4.3 標準IPsec場景(中心VPN為納管設備,分支VPN為未納管設備)
雲簡網絡VPN依托雲平台,采用Hub-Spoke方式建立VPN專屬隧道,保證在線業務的安全性。
· 中心-Hub設備:數據中心或者企業總部局域網的接入設備,作為VPN分支的中心的終結設備。建議同一組網中,將所有Hub設備加入一個場景。目前雲簡網絡同一個組網支持兩個Hub設備。
· 分支-Spoke設備:各個分支的接入設備,為VPN的發起設備。建議同一組網中,將網絡位置類似的Spoke設備加入同一個場景。
· VPN域:雲簡網絡VPN提供在同一個用戶視圖可共享的VPN域,此VPN域由Hub設備設定,固定的Tunnel地址範圍、預置共享密鑰、域優先級、IKE安全提議參數、IPsec策略模式以及算法,一旦設定不能修改。
· 雲簡VPN場景:為已納管的H3C設備之間建立VPN隧道,可配置中心-Hub設備、分支-Spoke設備。
· 標準IPsec場景:為未納管的設備(包含第三方設備)和已納管的設備之間建立VPN隧道,可配置中心-Hub設備、分支-Spoke設備。
圖1 雲簡網絡VPN組網結構
登錄雲簡網絡並進入網絡管理頁麵後,在左側導航欄中選擇“配置 > AC > 網絡 > VPN配置”,進入VPN配置頁麵。
點擊“VPN監控”頁簽,進入VPN監控頁麵查看VPN隧道信息,以單個VPN隧道為單位顯示。VPN隧道建立在兩台設備之間,隻要VPN隧道的任意一端在選定分支(或場所)內,就能加載該VPN隧道。
· 點擊頁麵左上角的<刷新>按鈕可更新當前VPN隧道信息。
· 點擊VPN隧道信息右側的詳情按鈕
,可以顯示VPN隧道詳情。
· 點擊VPN隧道信息右側的重置VPN按鈕
,重新協商IKE提議和IPsec策略。
· 點擊VPN隧道信息右側的鏈路質量按鈕
,可以以圖表方式查看隧道的鏈路速率、丟包率、時延和抖動信息
· VPN狀態顯示為綠色表示正常、紅色表示異常。
圖2 VPN監控
圖3 VPN詳情
圖4 鏈路質量
本文檔適用於使用Comware軟件版本的無線控製器產品,不嚴格與具體軟硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解ADVPN、IPsec相關特性。
· 目前僅WX2510H、WX2540H、WX2560H、WX3508H、WX3510H、WX3520H、LSUM1WCME0、EWPXM1WCME0、LSQM1WCMX20、LSUM1WCMX20RT、LSQM1WCMX40、LSUM1WCMX40RT、EWPXM2WCMD0F和EWPXM1MAC0F支持本特性。
· Hub和Spoke需處於網關所在位置,私網網段的DHCP等相關配置不支持通過雲簡網絡自動下發,需按照實際組網需求完成私網配置。
在Hub和Spoke之間建立一條VPN隧道,對Host A所在的子網(11.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。
圖5 雲簡VPN場景
(1) 點擊“中心VPN”頁簽,然後點擊<增加(雲簡VPN場景)>按鈕,進入“增加中心VPN”頁麵;
(2) 增加中心VPN,配置如下:
¡ 出接口選擇公網接口,連接WAN則選WAN口,否則選擇對應VLAN接口;
¡ 輸入WAN口IP地址或者對應VLAN接口IP地址;
¡ 輸入與現有不重複的VPN域名(此處是創建);
¡ 輸入與現有不重複的tunnel地址範圍;
¡ 輸入需要通信的私網地址段,多個地址段需要用逗號隔開;
¡ 其它參數可采用缺省配置;
¡ 點擊<保存>按鈕保存VPN配置,點擊<應用>按鈕,保存並向設備下發VPN配置。
圖6 增加中心VPN
(1) 點擊“分支VPN”頁簽,然後點擊<增加(雲簡VPN場景)>按鈕,進入“增加分支VPN”頁麵;
(2) 增加分支VPN,配置如下:
¡ 出接口選擇公網接口,連接WAN則選WAN口,否則選擇對應VLAN接口;
¡ 選擇需要建立隧道的中心VPN的VPN域;
¡ 選擇需要通信的私網地址段;
¡ 其它參數可采用缺省配置;
¡ 點擊<保存>按鈕保存VPN配置,點擊<應用>按鈕,保存並向設備下發VPN配置。
圖7 增加分支VPN
中心VPN和分支VPN私網地址段可以相互ping通。
在Hub和Spoke之間建立一條VPN隧道,對Host A所在的子網(3.3.3.0/24)與Host B所在的子網(11.1.1.0/24)之間的數據流進行安全保護。
圖8 雲簡VPN場景
(1) 點擊“中心VPN”頁簽,然後點擊<增加(標準IPsec場景)>按鈕,進入“增加中心VPN”頁麵;
(2) 點擊“第三方設備”頁簽,配置如下:
¡ 設備名稱;
¡ 預共享密鑰AE80DBE4494433EC;
¡ 公網地址;
¡ VPN域為test99;
¡ 中心FQDN為test999;
¡ 其它參數可采用缺省配置;
¡ 點擊<保存>按鈕保存配置。
圖9 中心VPN第三方設備
(3) 中心VPN為未納管設備,命令行配置如下:(其它廠商的第三方設備請使用相關功能對應的配置)
interface Vlan-interface1
ip address 192.168.106.40 255.255.255.0
ipsec apply policy test99
ipsec transform-set test99
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm md5
ipsec policy-template test99 1
transform-set test99
ike-profile 0000CloudNetIpsecSceneProfile
reverse-route dynamic
ipsec policy test99 1 isakmp template test99
ike profile 0000CloudNetIpsecSceneProfile
keychain 0000CloudNetIpsecSceneKeyChain
dpd interval 10 retry 3 periodic
exchange-mode aggressive
local-identity fqdn test999
match remote identity domain test99
proposal 25530
ike proposal 25530
encryption-algorithm aes-cbc-256
ike keychain 0000CloudNetIpsecSceneKeyChain
pre-shared-key address 0.0.0.0 0.0.0.0 key simple AE80DBE4494433EC
(1) 點擊“分支VPN”頁簽,然後點擊<增加(標準IPsec場景)>按鈕,進入“增加分支VPN”頁麵;
(2) 點擊“已納管設備”頁簽,配置如下:
¡ 設備名稱和出接口;
¡ VPN域為test99;
¡ 分支FQDN為test99;
¡ VPN保護的業務流量為11.1.1.0/24子網和3.3.3.0/24子網的流量;
¡ 其它參數可采用缺省配置;
¡ 點擊<保存>按鈕保存VPN配置,點擊<應用>按鈕,保存並向設備下發VPN配置。
圖10 分支VPN已納管設備
VPN保護的業務流量兩端可以互相ping通,配置成功。
在Hub和Spoke之間建立一條VPN隧道,對Host A所在的子網(11.1.1.0/24)與Host B所在的子網(8.8.8.0/24)之間的數據流進行安全保護。
圖11 雲簡VPN場景
(1) 點擊“中心VPN”頁簽,然後點擊<增加(標準IPsec場景)>按鈕,進入“增加中心VPN”頁麵;
(2) 點擊“已納管設備”頁簽,配置如下:
¡ 設備名稱和出接口;
¡ 公網地址;
¡ VPN域為test56(注意區分大小寫);
¡ 中心FQDN為test556(注意區分大小寫);
¡ 預共享密鑰:AE80DBE4494433EC;
¡ 其它參數可采用缺省配置;
¡ 點擊<保存>按鈕保存VPN配置,點擊<應用>按鈕,保存並向設備下發VPN配置。
圖12 中心VPN已納管設備
(1) 點擊“分支VPN”頁簽,然後點擊<增加(標準IPsec場景)>按鈕,進入“增加分支VPN”頁麵;
(2) 點擊“第三方設備”頁簽,配置如下:
¡ 設備名稱;
¡ VPN域為test56;
¡ 分支FQDN為test556;
¡ 點擊<保存>按鈕保存配置。
圖13 分支VPN第三方設備
(3) 分支VPN為未納管設備,命令行配置如下:(其它廠商的第三方設備請使用相關功能對應的配置)
interface Tunnel10000 mode ipsec
ip address 112.0.0.50 255.255.255.0
source GigabitEthernet1/0/5
destination 192.168.106.193
tunnel protection ipsec profile test56 acl name cloudNet-test56
ip route-static 11.1.1.0 24 Tunnel10000
acl advanced name cloudNet-test56
rule 0 permit ip source 8.8.8.0 0.0.0.255 destination 11.1.1.0 0.0.0.255
ipsec transform-set test56
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm md5
ipsec profile test56 isakmp
transform-set test56
ike-profile test56
ike profile test56
keychain 0000CloudNetIpsecSceneKeyChain
dpd interval 10 retry 3 periodic
exchange-mode aggressive
local-identity fqdn test556.test56
proposal 18513
ike proposal 18513
encryption-algorithm aes-cbc-256
ike keychain 0000CloudNetIpsecSceneKeyChain
pre-shared-key address 192.168.106.193 255.255.255.255 key simple AE80DBE4494433EC
中心VPN和分支VPN私網網段可以相互ping通,配置成功。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
