云服务器内容精选
-
后续操作 创建IPsec VPN通道后,支持对IPsec VPN进行如下操作: 搜索:在IPsec VPN配置列表左上方搜索框输入名称、设备、设备站点或状态,单击左侧或按回车键直接搜索。 修改:选中目标IPsec VPN网络,单击列表中“编辑”,可修改当前IPsec VPN配置。 修改IPsec VPN会导致设备之前的IPsec VPN隧道中断,可能无法重新建立,请谨慎操作。 删除:选中目标IPsec VPN网络,单击列表中“删除”或选中多个IPsec VPN网络单击列表右上方“删除”,支持单个或批量删除IPsec VPN网络。 若设备为“未注册”或“离线”状态,将无法成功删除设备所在的VPN。 查看下发状态:单击列表中 “查看下发状态”,可查看当前站点间IPsec VPN配置下发状态。如需重新下发IPsec VPN配置,可单击“重新下发”。 IPsec VPN配置状态如下: 预配置:设备还未上线,配置待下发。 失败:设备上线成功,配置下发失败。 告警:设备上线成功,配置下发异常。 正在部署:设备上线成功,配置正在下发中。 成功:设备上线成功,配置下发成功。
-
背景信息 根据实际情况,添加需要互联的分支、总部站点,并创建“点对点”或“点对多点”的VPN隧道,配置互联相关的信息。 为提升数据传输的安全性,用户可以在防火墙、AR与对端设备之间建立IPsec隧道,将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证,可以保障关键业务数据在Internet中安全传输,降低信息泄漏的风险。 在Hub-Spoke场景中,V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后,防火墙会选用最先配置的链路建立IPsec隧道,并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值,防火墙会切换到其他链路建立IPsec隧道,并继续检测IPsec隧道的时延和丢包率,直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限(缺省为3次)。启用智能选路功能后,Hub和Spoke的选取规则如下: 设备角色 约束条件 Hub 当前只支持防火墙或第三方设备作为Hub设备。 已作为Spoke使用的设备不能同时作为Hub使用。 非智能选路场景下,只支持1台Hub设备,一个VPN中的Hub设备不能和其他VPN重复。 智能选路场景下,最多支持10台Hub设备。 子网数必须大于0,且不能大于16。 Spoke 已作为Hub使用的设备不能同时作为Spoke使用。 一个Spoke设备最多在3个VPN中。 一个VPN最多支持32台互访设备或者200台不互访设备。 Spoke子网网段不能重叠。 VPN最后一个Spoke节点不允许删除。 子网数必须大于0,且不能大于16。 当前仅支持一级租户下的用户进行“站点间互联”配置。 低于V300R003C10版本的AR设备不支持配置IPsec VPN。 AR设备不支持Mesh组网,也不支持作为Hub节点,可作为Spoke节点。 AR设备不支持开启IPsec 智能选路。 AR设备不支持通过设备SN和FQDN方式进行身份认证。
-
逻辑架构 图1 IPsec VPN架构图 服务架构如图 IPsec VPN架构图所示,主要包括管理/控制层和网络层。每层具备明确的核心组件并承担不同的功能。 第三方BSS/OSS 华为乾坤开放了北向API接口,可以纳入到现有的BSS/OSS等第三方业务编排系统,实现广域网络的灵活集成和定制。 管理/控制层 IPsec VPN互联方案的网络编排,主要涉及华为乾坤云平台,通过云平台对站点间VPN的模型进行编排、业务发放。 华为乾坤云平台是管理/控制层的核心,主要包含网络业务编排、网元控制、基础网络运维、基础性能监控(提供链路质量信息、应用质量信息、流量信息,并提供站点、站点间等多维度的统计呈现)等功能。 网络层 网络层主要由物理设备组成,是企业WAN的基础物理组网。用户可以根据实际诉求选择合适的出口设备,当前IPsec VPN方案支持的网关设备如下: AR:主要做中小分支的出口设备,通过简单的IPsec VPN进行站点间通信。 防火墙:主要适用于金融、物流、办公等高安全场景,采用防火墙做出口设备,可以做分支或总部的出口设备。 第三方VPN网关:多分支场景,总部网络一般已部署(已存在第三方VPN网关设备),此时分支设备需要和第三方VPN网关对接,只能通过IPsec VPN与第三方VPN网关对接。
-
背景信息 随着分支办公、分支连锁场景越来越多,分支网络不仅要访问Internet,还要访问总部/数据中心(DC)、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景,需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式,其成本高、部署效率低,显然无法满足企业发展诉求。当前,企业分支可以选择通过Internet接入总部网络,同时为保证网络互联安全性和可靠性,可以部署IPsec VPN或SD-WAN方案。 本章主要介绍了IPsec VPN互联方案,配置流程如表 互联配置流程所示。IPsec VPN属于一种静态的VPN,通过在站点之间建立IPsec隧道来创建VPN通道,根据配置静态网段引流到VPN隧道中,实现站点间的业务通过VPN隧道进行访问。 如果有以下场景诉求,建议选择IPsec VPN方案: 金融、物流、办公门店等只考虑用FW做出口网关场景。 Hub节点为第三方VPN网关。 表1 互联配置流程 配置步骤 配置指引 1. 部署分支网络 单站点内网络部署流程如表 网络部署操作指引所示,包括站点创建、设备添加、网络业务配置、设备上线、配置下发等,不再赘述。 2. 配置分支互联 配置站点间VPN,具体操作参见VPN配置和VPN监控。
-
典型组网 IPsec VPN 单Hub组网 组网方案简介: 分支通过单条或者多条出口链路和单总部/DC互联,即单Hub节点互联。分支出口网关设备可以为云AR、云防火墙或者第三方VPN网关设备;总部网关设备可以为云防火墙,也可以为本地管理的防火墙(传统模式)或者第三方VPN网关设备。 图4 多分支、单总部/数据中心(单Hub节点)互联组网示意 适用场景: 海量小分支需要和总部/DC通信,只有一个总部/DC,或者对外仅体现一个公网地址,分支可以单条或者多条出口链路。 方案关键点: 分支间、分支和总部间的网段不能有重叠。 总部Hub节点为第三方VPN网关时,需要支持标准的IPsec对接,同时根据第三方VPN网关的能力做对应的站点规模的规划。 IPsec VPN方案中AR设备不支持作为总部Hub节点,只能用防火墙。针对防火墙设备,总部安全需求、策略比较复杂,建议采用传统模式。 AR仅支持Hub-spoke模型。当开启“智能选路”功能后,AR不能作为分支出口网关设备。 IPsec VPN 多Hub组网 组网方案简介: IPsec VPN 多Hub节点组网前提是开启“智能选路”功能,分支通过多条上行链路(多条有线链路、或者有线+LTE无线链路)出口和多总部/DC互联,或者一个总部多个对外出口,即多Hub节点互联。分支出口网关设备是云防火墙;总部网关设备可以为本地管理的防火墙(传统模式)或者第三方VPN网关设备。 图5 分支多链路、多总部/数据中心(多Hub节点)互联组网示意 适用场景: 海量小分支需要和多总部/DC通信,分支需要访问总部业务,通过多个总部/DC出口接入或者通过多个中心机房接入企业DC,两个中心站点内部需要提供相同的业务,为考虑可靠性,一般要求分支部署多条上行链路,可以为两条有线链路,或者一条有线线路(作为主用线路)和一条无线线路(作为备用线路)。 方案关键点: 分支多条链路上行时,通过开局配置的方式线下配置出口链路参数。分支站点推荐配置两条出口线路,可以两条有线线路,或者一条主用的有线线路和一条备份的LTE无线线路。 Hub节点可以为多个总部/DC;或者一个总部/DC有多个公网IP地址,在互联模型上,实际可以当做多个Hub点来链接。 多个Hub点的子网网段必须相同(防火墙同一时刻只会选择一个Hub建立通道,所以必须保证Hub内的业务相同,否则连接不同的Hub点,业务范围就会有差异)。 Hub节点的主备顺序,需要根据对应DC站点的实际顺序定义,同时需要先开通到主Hub节点的链路,保证Spoke站点可以先链接到主Hub节点。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
