• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

01-綜合配置舉例

目錄

14-H3C MSR係列路由器 雲簡VPN典型配置舉例

本章節下載 14-H3C MSR係列路由器 雲簡VPN典型配置舉例  (2.81 MB)

14-H3C MSR係列路由器 雲簡VPN典型配置舉例

H3C MSR係列路由器

雲簡VPN典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 bobty下载软件 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。

本文檔中的信息可能變動,恕不另行通知。



1  簡介

本文檔介紹雲簡VPN典型配置。

雲簡網絡平台是應互聯網+要求建立的新IT在線運營平台,雲簡VPN方案依托雲簡網絡平台,采用Hub-Spoke方式建立VPN專屬隧道。

2  配置前提

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解IPsec特性。

3  使用限製

批量創建分支VPN的方式隻能針對同一款型設備配置,僅適用於多個場所設備型號相同的場景。

4  典型配置

4.1  組網需求

分支到中心采用Hub-Spoke組網,其中中心作為Hub站點,各分支作為Spoke站點。分支1使用一條有線鏈路和一條4G/5G備份鏈路接入中心,分支2和分支3使用兩條有線鏈路接入中心。可根據實際業務需求在中心和各分支之間建立雲簡VPN隧道,由雲簡網絡平台實現中心分支之間在線業務的安全保護。本次配置以中心和分支1之間建立雲簡VPN隧道為例,要求:

·     中心和分支1之間建立兩條VPN隧道。

·     分支1和中心建立的兩條VPN隧道互為主備關係,當主隧道斷開時,可以切換到備隧道,不影響業務。

圖1 雲簡VPN配置組網圖

 

4.2  配置思路

為實現如上組網需求,可采用如下配置思路實現:

(1)     在中心上創建兩個中心VPN,分別配置兩個中心VPN的VPN域優先級,通過調整VPN域優先級來實現主備關係。

(2)     在分支1上創建兩個分支VPN,分別配置兩個分支VPN的出接口和VPN域,使得分支1和中心建立的兩條VPN隧道互為備份。

4.3  使用版本

本舉例是在R202304版本的雲簡網絡平台和ESS 6749版本的MSR810-10-PoE上進行配置和驗證的。

4.4  配置注意事項

·     建立雲簡VPN隧道的中心VPN和分支VPN需要使用相同的VPN域。

·     VPN域隻有在中心VPN上配置完後才能被分支VPN選擇。

·     VPN域優先級數值越小,則VPN域優先級越高。

4.5  配置步驟

4.5.1  登錄雲簡網絡平台

(1)     在PC瀏覽器上輸入https://oasis.h3c.com/,進入雲簡網絡頁麵。如圖2所示,在登錄界麵輸入雲簡賬號的用戶名和口令後點擊<登錄>按鈕進行登錄,本次配置以用戶名admin為例。

圖2 H3C雲簡網絡頁麵

 

(2)     登錄雲簡網絡平台後,如圖3所示,在[網絡管理]頁簽下選擇[配置/路由器/VPN配置],進入雲簡VPN配置界麵。

圖3 雲簡VPN配置界麵

 

4.5.2  創建中心VPN

1. 創建中心VPN1

(1)     如圖4所示,點擊[中心VPN],進入中心VPN界麵。點擊<增加(雲管VPN場景)>按鈕,進入增加中心VPN配置界麵。

圖4 中心VPN界麵

 

(2)     如圖5所示,在增加中心VPN配置界麵,必須配置的參數為帶紅色星號的參數,包括“設備名稱”、“出接口”、“VPN域”和“Tunnel地址範圍”。點擊<高級設置+>選項,即可打開增加中心VPN的詳細界麵。

圖5 增加中心VPN界麵

 

(3)     如圖6所示,在增加中心VPN詳細界麵裏,“高級設置”中必配參數為帶紅色星號的參數,包括“預共享密鑰”、“域優先級”、“BGP AS號”、“IKE提議”和“IPsec策略”。

圖6 增加中心VPN詳細界麵

 

(4)     如圖7所示,在增加中心VPN詳細界麵進行如下中心VPN1的配置:

a.     在“設備名稱”處選擇中心設備,本例中為“MSR810-10-POE”。

b.     在“出接口”處選擇中心設備的出接口,本例中為“GigabitEthernet0/3”。

c.     在“VPN域”處設置中心VPN的VPN域名稱,本例中為“test001”。

d.     在“Tunnel地址範圍”處設置Tunnel地址,本例中為“80.10.0.0/24”。

e.     在“預共享密鑰”處設置預共享密鑰,本例中為“aabbcc”。

f.     在“域優先級”處設置VPN域的優先級數值,數值越小,優先級越高。本例中為“180”。

g.     “BGP AS號”、“IKE提議”、“IPsec策略”、“Tunnel接口號”、“Tunnel源端口”和“分支VPN認證”均采用默認配置。本例中BGP AS號為65319,IKE提議和IPsec策略均采用default配置,默認不配置Tunnel接口號和Tunnel源端口,默認不采用分支VPN認證。

h.     點擊<應用>按鈕,完成並應用中心VPN1配置。

圖7 創建中心VPN1

 

(5)     完成並應用中心VPN1配置後,如圖8所示,在中心VPN界麵顯示出中心VPN1的應用狀態。

圖8 中心VPN1應用狀態

 

2. 創建中心VPN2

創建中心VPN2的配置步驟與“創建中心VPN1”一致,具體參數配置略。

4.5.3  創建分支VPN

1. 逐個創建分支VPN1

(1)     如圖9所示,點擊[分支VPN],進入分支VPN界麵。點擊<增加(雲管VPN場景)>按鈕,進入增加分支VPN配置界麵。

圖9 分支VPN界麵-逐個創建分支VPN

 

(2)     如圖10所示,在增加分支VPN配置界麵,必須配置的參數為帶紅色星號的參數,包括“設備名稱”、“出接口”、“VPN域”、“私網接口”、上網方式選擇和是否開啟質量探測。點擊<高級設置+>選項,即可打開增加分支VPN的詳細界麵。

圖10 增加分支VPN界麵

 

(3)     如圖11所示,在增加分支VPN詳細界麵裏,“高級設置”中的參數為選配參數,可以不配置,也可以根據實際需求自定義輸入。

圖11 增加分支VPN詳細界麵

 

(4)     如圖12所示,在增加分支VPN詳細界麵進行如下分支VPN1的配置:

a.     在“設備名稱”處選擇分支設備,本例中為“810”。

b.     在“出接口”處選擇分支設備的出接口,本例中為“GigabitEthernet0/4”。

c.     在“VPN域”處選擇中心VPN配置的VPN域,本例中為“test001”。

d.     在“私網接口地址”處選擇分支設備的私網接口,本例中為“Vlan-interface2;Vlan-interface3;Vlan-interface4;Vlan-interface20;Vlan-interface1”。

e.     選擇“本地上網”時,分支隻將VPN的流量轉發給中心VPN;選擇“總部集中上網”時,分支將所有流量轉發給中心VPN。本例中選擇為“本地上網”,具體以實際情況為準。

f.     “高級設置”中的參數采用默認配置。

g.     點擊<應用>按鈕,完成並應用分支VPN1配置。

圖12 創建分支VPN1

 

(5)     完成並應用分支VPN1配置後,如圖13所示,在分支VPN界麵顯示出分支VPN1的應用狀態。

圖13 分支VPN1應用狀態

 

2. 逐個創建分支VPN2

逐個創建分支VPN2的配置步驟與“逐個創建分支VPN1”一致,具體參數配置略。

3. 批量創建分支VPN

說明

批量創建分支VPN的方式隻能針對同一款型設備進行批量配置。點擊批量增加按鈕,首先需要選擇要配置的場所,因為默認每個場所都是隻有一台路由器的,選擇場所則相當於選擇對應的路由器。

 

(1)     如圖14所示,點擊[分支VPN],進入分支VPN界麵。點擊<批量增加(雲管VPN場景)>按鈕,進入批量增加分支VPN界麵。

圖14 分支VPN界麵-批量創建分支VPN

 

(2)     如圖15所示,在批量增加分支VPN界麵選擇需要配置的場所後,點擊<下一步>按鈕,即可進入批量增加分支VPN配置界麵。

圖15 批量增加分支VPN界麵

 

(3)     如圖16所示,在批量增加分支VPN配置界麵,必須配置的參數為帶紅色星號的參數,包括“出接口1”、“VPN域”、“私網接口”、上網方式選擇和是否開啟質量探測。點擊<高級設置+>選項,即可打開批量增加分支VPN詳細界麵。

圖16 批量增加分支VPN配置界麵

 

(4)     如圖17所示,在批量增加分支VPN詳細界麵裏,“高級設置”中的參數為選配參數,可以不配置,也可以根據實際需求自定義輸入。

圖17 批量增加分支VPN詳細界麵

 

(5)     如圖18所示,在批量增加分支VPN詳細界麵進行如下分支VPN配置:

a.     在“出接口1”處選擇分支設備的出接口,本例中為“GigabitEthernet0/4”。

b.     在“VPN域”處選擇中心VPN配置的VPN域,本例中為“test001”。

c.     在“私網接口地址”處選擇分支設備的私網接口,本例中為“Vlan-interface2;Vlan-interface3;Vlan-interface4;Vlan-interface20;Vlan-interface1”。

d.     選擇“本地上網”時,分支隻將VPN的流量轉發給中心VPN;選擇“總部集中上網”時,分支將所有流量轉發給中心VPN。本例中選擇為“本地上網”,具體以實際情況為準。

e.     “高級設置”中的參數采用默認配置。

f.     點擊<應用>按鈕,完成並應用分支VPN配置。

圖18 批量創建分支VPN

 

4.5.4  (可選)自定義VPN配置

1. (可選)自定義VPN賬號

(1)     如圖19所示,在雲簡VPN界麵,點擊[高級+],即可展開雲簡VPN高級配置界麵。

圖19 雲簡VPN界麵

 

(2)     如圖20所示,在雲簡VPN高級配置界麵可以進行自定義VPN配置,包括自定義VPN賬號、自定義IKE提議和自定義IPsec策略。點擊[VPN賬號]頁簽,即可進入VPN賬號配置界麵。

圖20 雲簡VPN高級配置界麵

 

(3)     如圖21所示,在VPN賬號界麵,點擊<+增加>按鈕,進入增加VPN賬號界麵。

圖21 VPN賬號界麵

 

(4)     如圖22所示,在增加VPN賬號界麵進行如下自定義VPN賬號配置:

a.     在“用戶名”處設置VPN賬號的名稱,本例中為“test”。

b.     在“密碼”處設置該VPN賬號的密碼,具體以實際情況為準,本例中為“123456”。

c.     在“確認密碼”處重複輸入在“密碼”處配置的VPN賬號密碼,本例中為“123456”。

d.     “備注”屬於可選配置,具體配置以實際情況為準,在本例中默認不對“備注”進行配置。

e.     點擊<確定>按鈕,即可完成並保存該VPN賬號配置。

圖22 增加VPN賬號界麵

 

(5)     如圖23所示,在VPN賬號界麵,勾選(4)中配置的VPN賬號,點擊<寫入設備>按鈕,即可進行VPN賬號寫入中心設備的配置。

圖23 VPN賬號界麵

 

(6)     如圖24所示,在選擇場所界麵,在“場所”處選擇需要將VPN賬號寫入中心設備的場所,點擊<確定>按鈕後會出現如(7)圖25所示的寫入設備提示框。

圖24 選擇寫入設備場所界麵

 

(7)     如圖25所示,在寫入設備提示框裏點擊<確定>按鈕後即可執行將VPN賬號寫入被選擇場所的中心設備。

圖25 寫入設備提示框

 

(8)     執行將VPN賬號寫入被選擇場所的中心設備後,雲簡網絡平台會出現如圖26所示的寫入設備成功提示。

圖26 寫入設備成功提示

 

(9)     將自定義的VPN賬號寫入中心設備後,在創建中心VPN時,可以在中心VPN上選擇對分支VPN進行認證。如圖27所示,在“分支VPN認證”處勾選“是”,即可配置中心VPN對分支VPN進行認證。

圖27 中心VPN設置分支VPN認證

 

(10)     在中心VPN設置了對分支VPN認證後,在創建分支VPN時,增加分支VPN界麵新增兩個帶紅色星號的必配參數:“認證用戶”和“認證密碼”。如圖28所示,進行如下分支VPN認證配置:

a.     在“認證用戶”處輸入寫入中心設備的VPN賬號名稱,本例中為“test”。

b.     在“認證密碼”處輸入寫入中心設備的VPN賬號密碼,本例中為“123456”。

c.     點擊<應用>按鈕,分支VPN認證通過後即可成功建立VPN隧道。

圖28 分支VPN進行認證

 

2. (可選)自定義IKE提議

(1)     如圖29所示,在雲簡VPN界麵,點擊[高級+],即可展開雲簡VPN高級配置界麵。

圖29 雲簡VPN界麵

 

(2)     如圖30所示,在雲簡VPN高級配置界麵可以進行自定義VPN配置,包括自定義VPN賬號、自定義IKE提議和自定義IPsec策略。點擊[IKE提議]頁簽,即可進入IKE提議配置界麵。

圖30 雲簡VPN高級配置界麵

 

(3)     如圖31所示,在IKE提議界麵,能看到存在一個IKE提議默認的default模板。默認default模板裏IKE使用的加密算法為AES-CBC-256,認證算法為SHA1,DH組為DH group1。點擊<+增加>按鈕,即可進入增加IKE提議界麵。

圖31 IKE提議界麵

 

(4)     如圖32所示,在增加IKE提議界麵進行如下自定義IKE提議配置:

a.     在“提議名稱”處設置IKE提議的名稱,本例中為“test”。

b.     在“加密算法”處設置該IKE提議的加密算法,可供選擇的加密算法包括:DES-CBC、DES-3DES、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中設置的加密算法為AES-CBC-192。

c.     在“認證算法”處設置該IKE提議的認證算法,可供選擇的加密算法包括:SHA1、MD5、SHA256、SHA384和SHA512。本例中設置的認證算法為SHA256。

d.     在“DH組”處設置該IKE提議的DH組,可供選擇的DH組包括:DH group1、DH group2、DH group5、DH group14和DH group24。本例中設置的DH組為DH group2。

e.     點擊<確定>按鈕,即可完成並保存該IKE提議配置。

圖32 增加IKE提議界麵

 

(5)     保存新增IKE提議後,雲簡網絡平台會出現如圖33所示的增加IKE提議成功提示。

圖33 增加IKE提議成功提示

 

(6)     新增IKE提議成功後,在創建中心VPN時,可以在中心VPN上選擇自定義配置的IKE提議。如圖34所示,在“IKE提議”處選擇自定義配置的IKE提議,本例中為“test”。

圖34 中心VPN采用自定義IKE提議

 

3. (可選)自定義IPsec策略

(1)     如圖35所示,在雲簡VPN界麵,點擊[高級+],即可展開雲簡VPN高級配置界麵。

圖35 雲簡VPN界麵

 

(2)     如圖36所示,在雲簡VPN高級配置界麵可以進行自定義VPN配置,包括自定義VPN賬號、自定義IKE提議和自定義IPsec策略。點擊[IPsec策略]頁簽,即可進入IPsec策略配置界麵。

圖36 雲簡VPN高級配置界麵

 

(3)     如圖37所示,在IPsec策略界麵,能看到存在一個IPsec策略默認的default模板。默認default模板裏IPsec策略使用的安全模式為ESP,ESP認證算法為MD5,ESP加密算法為AES-CBC-256。點擊<+增加>按鈕,即可進入增加IPsec策略界麵。

圖37 IPsec策略界麵

 

(4)     如圖38所示,在增加IPsec策略界麵進行如下自定義IPsec策略配置:

a.     在“策略名稱”處設置IPsec策略的名稱,本例中為“test”。

b.     在“安全模式”處設置該IPsec策略的安全模式,可供選擇的安全模式包括:ESP、AH和ESP+AH。其中AH模式不支持NAT穿越,如果實際網絡中有NAT網關,建議安全模式選用ESP模式。本例中設置的安全模式為ESP。

c.     在“ESP認證算法”處設置該IPsec策略的ESP認證算法,可供選擇的ESP認證算法包括:MD5、SHA1、SHA256、SHA384和SHA512。本例中設置的ESP認證算法為SHA1。

d.     在“ESP加密算法”處設置該IPsec策略的ESP加密算法,可供選擇的ESP加密算法包括:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192和AES-CBC-256。本例中設置的ESP加密算法為AES-CBC-128。

e.     在“PFS”處設置PFS特性,本例中設置為“否”,即不使用PFS特性。

f.     點擊<確定>按鈕,即可完成並保存該IPsec策略配置。

圖38 增加IPsec策略界麵

 

(5)     保存新增IPsec策略後,雲簡網絡平台會出現如圖39所示的增加IPsec策略成功提示。

圖39 增加IPsec策略成功提示

 

(6)     新增IPsec策略成功後,在創建中心VPN時,可以在中心VPN上選擇自定義配置的IPsec策略。如圖40所示,在“IPsec策略”處選擇自定義配置的IPsec策略,本例中為“test”。

圖40 中心VPN采用自定義IPsec策略

 

4.5.5  (可選)隧道狀態告警訂閱

(1)     如圖41所示,在[網絡管理]頁簽下選擇[消息/告警日誌],進入告警日誌界麵。點擊<告警訂閱>頁簽即可進入告警訂閱界麵。

圖41 告警日誌界麵

 

(2)     如圖42所示,在告警訂閱界麵,能看到存在一條默認告警策略,默認策略裏告警推送方式為“不推送”。點擊<+增加>按鈕,即可進入增加告警策略界麵。

圖42 告警訂閱界麵

 

(3)     如圖43所示,在增加告警策略界麵,必須配置的參數為帶紅色星號的參數,包括“名稱”、“告警方式”、“推送時間”、“維護窗口”、“告警賬戶”和“告警明細”。

圖43 增加告警策略界麵

 

(4)     如圖44所示,在增加告警策略界麵進行如下自定義告警策略配置:

a.     在“名稱”處設置告警策略的名稱,本例中為“VPN狀態”。

b.     在“告警方式”處設置告警策略的告警方式,可供選擇的告警方式包括:微信告警、企業微信告警(機器人)、釘釘告警(機器人)、飛書告警(機器人)、企業微信告警(定向)、釘釘告警(定向)、飛書告警(定向)、郵件告警、短信告警和僅顯示不推送。本例中設置的告警方式為微信告警。

c.     在“推送時間”處進行告警推送的時間設置。本例中設置告警推送時間為周一至周五、周六和周日的00:00~23:59。

d.     在“維護窗口”處可進行維護窗口配置。本例中設置關閉維護窗口。

e.     在“告警賬戶”處可選擇告警賬戶,在“可選告警賬戶”框內勾選需要選擇告警的賬戶,點擊< › >按鈕將其添加至“已選告警賬戶”內。

圖44 自定義告警策略配置

 

(5)     如圖45所示,在“告警明細”區段下的“路由器”一欄,勾選“vpn隧道狀態告警”,告警級別設置為“緊急”。

圖45 配置告警明細

 

(6)     完成並保存上述自定義告警策略配置後,雲簡網絡平台會出現如圖46所示的告警策略操作成功界麵。當VPN隧道發生斷開或者連接時,雲簡網絡平台都可以及時發出告警消息通知。

圖46 告警策略操作成功

 

4.6  驗證配置

以上配置完成後,中心和分支會建立VPN隧道。可通過雲簡網絡平台查看VPN隧道狀態。

(1)     如圖47所示,在雲簡VPN配置界麵點擊[VPN監控]頁簽,進入VPN監控界麵。在“操作”框內可以查看VPN隧道詳情、重置VPN和查看VPN鏈路質量。

圖47 VPN監控界麵

 

 

(2)     如圖48所示,點擊“詳情”圖標,即可打開如圖49所示的詳情界麵查看VPN隧道詳情。

圖48 查看VPN隧道詳情

 

圖49 詳情界麵

 

(3)     如圖50所示,點擊“鏈路質量”圖標,即可進入鏈路質量界麵查看VPN鏈路質量。

圖50 查看VPN鏈路質量

 

(4)     在鏈路質量界麵,能查看如圖51所示的VPN鏈路的速率、丟包率、時延,同時也能查看如圖52所示的VPN鏈路抖動。

圖51 鏈路質量界麵

 

圖52 VPN鏈路抖動

 

5  相關資料

·     “安全配置指導”中的“IPsec”

·     “安全命令參考”中的“IPsec”

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們