14-H3C MSR係列路由器 雲簡VPN典型配置舉例
本章節下載: 14-H3C MSR係列路由器 雲簡VPN典型配置舉例 (2.81 MB)
H3C MSR係列路由器
雲簡VPN典型配置
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹雲簡VPN典型配置。
雲簡網絡平台是應互聯網+要求建立的新IT在線運營平台,雲簡VPN方案依托雲簡網絡平台,采用Hub-Spoke方式建立VPN專屬隧道。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解IPsec特性。
批量創建分支VPN的方式隻能針對同一款型設備配置,僅適用於多個場所設備型號相同的場景。
分支到中心采用Hub-Spoke組網,其中中心作為Hub站點,各分支作為Spoke站點。分支1使用一條有線鏈路和一條4G/5G備份鏈路接入中心,分支2和分支3使用兩條有線鏈路接入中心。可根據實際業務需求在中心和各分支之間建立雲簡VPN隧道,由雲簡網絡平台實現中心分支之間在線業務的安全保護。本次配置以中心和分支1之間建立雲簡VPN隧道為例,要求:
· 中心和分支1之間建立兩條VPN隧道。
· 分支1和中心建立的兩條VPN隧道互為主備關係,當主隧道斷開時,可以切換到備隧道,不影響業務。
圖1 雲簡VPN配置組網圖
為實現如上組網需求,可采用如下配置思路實現:
(1) 在中心上創建兩個中心VPN,分別配置兩個中心VPN的VPN域優先級,通過調整VPN域優先級來實現主備關係。
(2) 在分支1上創建兩個分支VPN,分別配置兩個分支VPN的出接口和VPN域,使得分支1和中心建立的兩條VPN隧道互為備份。
本舉例是在R202304版本的雲簡網絡平台和ESS 6749版本的MSR810-10-PoE上進行配置和驗證的。
· 建立雲簡VPN隧道的中心VPN和分支VPN需要使用相同的VPN域。
· VPN域隻有在中心VPN上配置完後才能被分支VPN選擇。
· VPN域優先級數值越小,則VPN域優先級越高。
(1) 在PC瀏覽器上輸入https://oasis.h3c.com/,進入雲簡網絡頁麵。如圖2所示,在登錄界麵輸入雲簡賬號的用戶名和口令後點擊<登錄>按鈕進行登錄,本次配置以用戶名admin為例。
圖2 H3C雲簡網絡頁麵
(2) 登錄雲簡網絡平台後,如圖3所示,在[網絡管理]頁簽下選擇[配置/路由器/VPN配置],進入雲簡VPN配置界麵。
圖3 雲簡VPN配置界麵
(1) 如圖4所示,點擊[中心VPN],進入中心VPN界麵。點擊<增加(雲管VPN場景)>按鈕,進入增加中心VPN配置界麵。
圖4 中心VPN界麵
(2) 如圖5所示,在增加中心VPN配置界麵,必須配置的參數為帶紅色星號的參數,包括“設備名稱”、“出接口”、“VPN域”和“Tunnel地址範圍”。點擊<高級設置+>選項,即可打開增加中心VPN的詳細界麵。
(3) 如圖6所示,在增加中心VPN詳細界麵裏,“高級設置”中必配參數為帶紅色星號的參數,包括“預共享密鑰”、“域優先級”、“BGP AS號”、“IKE提議”和“IPsec策略”。
圖6 增加中心VPN詳細界麵
(4) 如圖7所示,在增加中心VPN詳細界麵進行如下中心VPN1的配置:
a. 在“設備名稱”處選擇中心設備,本例中為“MSR810-10-POE”。
b. 在“出接口”處選擇中心設備的出接口,本例中為“GigabitEthernet0/3”。
c. 在“VPN域”處設置中心VPN的VPN域名稱,本例中為“test001”。
d. 在“Tunnel地址範圍”處設置Tunnel地址,本例中為“80.10.0.0/24”。
e. 在“預共享密鑰”處設置預共享密鑰,本例中為“aabbcc”。
f. 在“域優先級”處設置VPN域的優先級數值,數值越小,優先級越高。本例中為“180”。
g. “BGP AS號”、“IKE提議”、“IPsec策略”、“Tunnel接口號”、“Tunnel源端口”和“分支VPN認證”均采用默認配置。本例中BGP AS號為65319,IKE提議和IPsec策略均采用default配置,默認不配置Tunnel接口號和Tunnel源端口,默認不采用分支VPN認證。
h. 點擊<應用>按鈕,完成並應用中心VPN1配置。
(5) 完成並應用中心VPN1配置後,如圖8所示,在中心VPN界麵顯示出中心VPN1的應用狀態。
圖8 中心VPN1應用狀態
創建中心VPN2的配置步驟與“創建中心VPN1”一致,具體參數配置略。
(1) 如圖9所示,點擊[分支VPN],進入分支VPN界麵。點擊<增加(雲管VPN場景)>按鈕,進入增加分支VPN配置界麵。
圖9 分支VPN界麵-逐個創建分支VPN
(2) 如圖10所示,在增加分支VPN配置界麵,必須配置的參數為帶紅色星號的參數,包括“設備名稱”、“出接口”、“VPN域”、“私網接口”、上網方式選擇和是否開啟質量探測。點擊<高級設置+>選項,即可打開增加分支VPN的詳細界麵。
(3) 如圖11所示,在增加分支VPN詳細界麵裏,“高級設置”中的參數為選配參數,可以不配置,也可以根據實際需求自定義輸入。
圖11 增加分支VPN詳細界麵
(4) 如圖12所示,在增加分支VPN詳細界麵進行如下分支VPN1的配置:
a. 在“設備名稱”處選擇分支設備,本例中為“810”。
b. 在“出接口”處選擇分支設備的出接口,本例中為“GigabitEthernet0/4”。
c. 在“VPN域”處選擇中心VPN配置的VPN域,本例中為“test001”。
d. 在“私網接口地址”處選擇分支設備的私網接口,本例中為“Vlan-interface2;Vlan-interface3;Vlan-interface4;Vlan-interface20;Vlan-interface1”。
e. 選擇“本地上網”時,分支隻將VPN的流量轉發給中心VPN;選擇“總部集中上網”時,分支將所有流量轉發給中心VPN。本例中選擇為“本地上網”,具體以實際情況為準。
f. “高級設置”中的參數采用默認配置。
g. 點擊<應用>按鈕,完成並應用分支VPN1配置。
(5) 完成並應用分支VPN1配置後,如圖13所示,在分支VPN界麵顯示出分支VPN1的應用狀態。
圖13 分支VPN1應用狀態
逐個創建分支VPN2的配置步驟與“逐個創建分支VPN1”一致,具體參數配置略。
批量創建分支VPN的方式隻能針對同一款型設備進行批量配置。點擊批量增加按鈕,首先需要選擇要配置的場所,因為默認每個場所都是隻有一台路由器的,選擇場所則相當於選擇對應的路由器。
(1) 如圖14所示,點擊[分支VPN],進入分支VPN界麵。點擊<批量增加(雲管VPN場景)>按鈕,進入批量增加分支VPN界麵。
圖14 分支VPN界麵-批量創建分支VPN
(2) 如圖15所示,在批量增加分支VPN界麵選擇需要配置的場所後,點擊<下一步>按鈕,即可進入批量增加分支VPN配置界麵。
(3) 如圖16所示,在批量增加分支VPN配置界麵,必須配置的參數為帶紅色星號的參數,包括“出接口1”、“VPN域”、“私網接口”、上網方式選擇和是否開啟質量探測。點擊<高級設置+>選項,即可打開批量增加分支VPN詳細界麵。
圖16 批量增加分支VPN配置界麵
(4) 如圖17所示,在批量增加分支VPN詳細界麵裏,“高級設置”中的參數為選配參數,可以不配置,也可以根據實際需求自定義輸入。
圖17 批量增加分支VPN詳細界麵
(5) 如圖18所示,在批量增加分支VPN詳細界麵進行如下分支VPN配置:
a. 在“出接口1”處選擇分支設備的出接口,本例中為“GigabitEthernet0/4”。
b. 在“VPN域”處選擇中心VPN配置的VPN域,本例中為“test001”。
c. 在“私網接口地址”處選擇分支設備的私網接口,本例中為“Vlan-interface2;Vlan-interface3;Vlan-interface4;Vlan-interface20;Vlan-interface1”。
d. 選擇“本地上網”時,分支隻將VPN的流量轉發給中心VPN;選擇“總部集中上網”時,分支將所有流量轉發給中心VPN。本例中選擇為“本地上網”,具體以實際情況為準。
e. “高級設置”中的參數采用默認配置。
f. 點擊<應用>按鈕,完成並應用分支VPN配置。
(1) 如圖19所示,在雲簡VPN界麵,點擊[高級+],即可展開雲簡VPN高級配置界麵。
(2) 如圖20所示,在雲簡VPN高級配置界麵可以進行自定義VPN配置,包括自定義VPN賬號、自定義IKE提議和自定義IPsec策略。點擊[VPN賬號]頁簽,即可進入VPN賬號配置界麵。
圖20 雲簡VPN高級配置界麵
(3) 如圖21所示,在VPN賬號界麵,點擊<+增加>按鈕,進入增加VPN賬號界麵。
圖21 VPN賬號界麵
(4) 如圖22所示,在增加VPN賬號界麵進行如下自定義VPN賬號配置:
a. 在“用戶名”處設置VPN賬號的名稱,本例中為“test”。
b. 在“密碼”處設置該VPN賬號的密碼,具體以實際情況為準,本例中為“123456”。
c. 在“確認密碼”處重複輸入在“密碼”處配置的VPN賬號密碼,本例中為“123456”。
d. “備注”屬於可選配置,具體配置以實際情況為準,在本例中默認不對“備注”進行配置。
e. 點擊<確定>按鈕,即可完成並保存該VPN賬號配置。
圖22 增加VPN賬號界麵
(5) 如圖23所示,在VPN賬號界麵,勾選(4)中配置的VPN賬號,點擊<寫入設備>按鈕,即可進行VPN賬號寫入中心設備的配置。
圖23 VPN賬號界麵
(6) 如圖24所示,在選擇場所界麵,在“場所”處選擇需要將VPN賬號寫入中心設備的場所,點擊<確定>按鈕後會出現如(7)圖25所示的寫入設備提示框。
(7) 如圖25所示,在寫入設備提示框裏點擊<確定>按鈕後即可執行將VPN賬號寫入被選擇場所的中心設備。
(8) 執行將VPN賬號寫入被選擇場所的中心設備後,雲簡網絡平台會出現如圖26所示的寫入設備成功提示。
(9) 將自定義的VPN賬號寫入中心設備後,在創建中心VPN時,可以在中心VPN上選擇對分支VPN進行認證。如圖27所示,在“分支VPN認證”處勾選“是”,即可配置中心VPN對分支VPN進行認證。
圖27 中心VPN設置分支VPN認證
(10) 在中心VPN設置了對分支VPN認證後,在創建分支VPN時,增加分支VPN界麵新增兩個帶紅色星號的必配參數:“認證用戶”和“認證密碼”。如圖28所示,進行如下分支VPN認證配置:
a. 在“認證用戶”處輸入寫入中心設備的VPN賬號名稱,本例中為“test”。
b. 在“認證密碼”處輸入寫入中心設備的VPN賬號密碼,本例中為“123456”。
c. 點擊<應用>按鈕,分支VPN認證通過後即可成功建立VPN隧道。
圖28 分支VPN進行認證
(1) 如圖29所示,在雲簡VPN界麵,點擊[高級+],即可展開雲簡VPN高級配置界麵。
(2) 如圖30所示,在雲簡VPN高級配置界麵可以進行自定義VPN配置,包括自定義VPN賬號、自定義IKE提議和自定義IPsec策略。點擊[IKE提議]頁簽,即可進入IKE提議配置界麵。
圖30 雲簡VPN高級配置界麵
(3) 如圖31所示,在IKE提議界麵,能看到存在一個IKE提議默認的default模板。默認default模板裏IKE使用的加密算法為AES-CBC-256,認證算法為SHA1,DH組為DH group1。點擊<+增加>按鈕,即可進入增加IKE提議界麵。
圖31 IKE提議界麵
(4) 如圖32所示,在增加IKE提議界麵進行如下自定義IKE提議配置:
a. 在“提議名稱”處設置IKE提議的名稱,本例中為“test”。
b. 在“加密算法”處設置該IKE提議的加密算法,可供選擇的加密算法包括:DES-CBC、DES-3DES、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中設置的加密算法為AES-CBC-192。
c. 在“認證算法”處設置該IKE提議的認證算法,可供選擇的加密算法包括:SHA1、MD5、SHA256、SHA384和SHA512。本例中設置的認證算法為SHA256。
d. 在“DH組”處設置該IKE提議的DH組,可供選擇的DH組包括:DH group1、DH group2、DH group5、DH group14和DH group24。本例中設置的DH組為DH group2。
e. 點擊<確定>按鈕,即可完成並保存該IKE提議配置。
圖32 增加IKE提議界麵
(5) 保存新增IKE提議後,雲簡網絡平台會出現如圖33所示的增加IKE提議成功提示。
圖33 增加IKE提議成功提示
(6) 新增IKE提議成功後,在創建中心VPN時,可以在中心VPN上選擇自定義配置的IKE提議。如圖34所示,在“IKE提議”處選擇自定義配置的IKE提議,本例中為“test”。
圖34 中心VPN采用自定義IKE提議
(1) 如圖35所示,在雲簡VPN界麵,點擊[高級+],即可展開雲簡VPN高級配置界麵。
(2) 如圖36所示,在雲簡VPN高級配置界麵可以進行自定義VPN配置,包括自定義VPN賬號、自定義IKE提議和自定義IPsec策略。點擊[IPsec策略]頁簽,即可進入IPsec策略配置界麵。
圖36 雲簡VPN高級配置界麵
(3) 如圖37所示,在IPsec策略界麵,能看到存在一個IPsec策略默認的default模板。默認default模板裏IPsec策略使用的安全模式為ESP,ESP認證算法為MD5,ESP加密算法為AES-CBC-256。點擊<+增加>按鈕,即可進入增加IPsec策略界麵。
圖37 IPsec策略界麵
(4) 如圖38所示,在增加IPsec策略界麵進行如下自定義IPsec策略配置:
a. 在“策略名稱”處設置IPsec策略的名稱,本例中為“test”。
b. 在“安全模式”處設置該IPsec策略的安全模式,可供選擇的安全模式包括:ESP、AH和ESP+AH。其中AH模式不支持NAT穿越,如果實際網絡中有NAT網關,建議安全模式選用ESP模式。本例中設置的安全模式為ESP。
c. 在“ESP認證算法”處設置該IPsec策略的ESP認證算法,可供選擇的ESP認證算法包括:MD5、SHA1、SHA256、SHA384和SHA512。本例中設置的ESP認證算法為SHA1。
d. 在“ESP加密算法”處設置該IPsec策略的ESP加密算法,可供選擇的ESP加密算法包括:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中設置的ESP加密算法為AES-CBC-128。
e. 在“PFS”處設置PFS特性,本例中設置為“否”,即不使用PFS特性。
f. 點擊<確定>按鈕,即可完成並保存該IPsec策略配置。
圖38 增加IPsec策略界麵
(5) 保存新增IPsec策略後,雲簡網絡平台會出現如圖39所示的增加IPsec策略成功提示。
圖39 增加IPsec策略成功提示
(6) 新增IPsec策略成功後,在創建中心VPN時,可以在中心VPN上選擇自定義配置的IPsec策略。如圖40所示,在“IPsec策略”處選擇自定義配置的IPsec策略,本例中為“test”。
圖40 中心VPN采用自定義IPsec策略
(1) 如圖41所示,在[網絡管理]頁簽下選擇[消息/告警日誌],進入告警日誌界麵。點擊<告警訂閱>頁簽即可進入告警訂閱界麵。
(2) 如圖42所示,在告警訂閱界麵,能看到存在一條默認告警策略,默認策略裏告警推送方式為“不推送”。點擊<+增加>按鈕,即可進入增加告警策略界麵。
(3) 如圖43所示,在增加告警策略界麵,必須配置的參數為帶紅色星號的參數,包括“名稱”、“告警方式”、“推送時間”、“維護窗口”、“告警賬戶”和“告警明細”。
(4) 如圖44所示,在增加告警策略界麵進行如下自定義告警策略配置:
a. 在“名稱”處設置告警策略的名稱,本例中為“VPN狀態”。
b. 在“告警方式”處設置告警策略的告警方式,可供選擇的告警方式包括:微信告警、企業微信告警(機器人)、釘釘告警(機器人)、飛書告警(機器人)、企業微信告警(定向)、釘釘告警(定向)、飛書告警(定向)、郵件告警、短信告警和僅顯示不推送。本例中設置的告警方式為微信告警。
c. 在“推送時間”處進行告警推送的時間設置。本例中設置告警推送時間為周一至周五、周六和周日的00:00~23:59。
d. 在“維護窗口”處可進行維護窗口配置。本例中設置關閉維護窗口。
e. 在“告警賬戶”處可選擇告警賬戶,在“可選告警賬戶”框內勾選需要選擇告警的賬戶,點擊< › >按鈕將其添加至“已選告警賬戶”內。
(5) 如圖45所示,在“告警明細”區段下的“路由器”一欄,勾選“vpn隧道狀態告警”,告警級別設置為“緊急”。
(6) 完成並保存上述自定義告警策略配置後,雲簡網絡平台會出現如圖46所示的告警策略操作成功界麵。當VPN隧道發生斷開或者連接時,雲簡網絡平台都可以及時發出告警消息通知。
以上配置完成後,中心和分支會建立VPN隧道。可通過雲簡網絡平台查看VPN隧道狀態。
(1) 如圖47所示,在雲簡VPN配置界麵點擊[VPN監控]頁簽,進入VPN監控界麵。在“操作”框內可以查看VPN隧道詳情、重置VPN和查看VPN鏈路質量。
圖47 VPN監控界麵
(2) 如圖48所示,點擊“詳情”圖標,即可打開如圖49所示的詳情界麵查看VPN隧道詳情。
圖48 查看VPN隧道詳情
(3) 如圖50所示,點擊“鏈路質量”圖標,即可進入鏈路質量界麵查看VPN鏈路質量。
圖50 查看VPN鏈路質量
(4) 在鏈路質量界麵,能查看如圖51所示的VPN鏈路的速率、丟包率、時延,同時也能查看如圖52所示的VPN鏈路抖動。
圖52 VPN鏈路抖動
· “安全配置指導”中的“IPsec”
· “安全命令參考”中的“IPsec”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!