华为云首页用户手册

华为乾坤-IPsec VPN方案介绍:典型组网

时间：2023-11-01 16:16:56

华为乾坤 IPsec VPN互联

典型组网

IPsec VPN 单Hub组网
- 组网方案简介：
  分支通过单条或者多条出口链路和单总部/DC互联，即单Hub节点互联。分支出口网关设备可以为云AR、云防火墙或者第三方VPN网关设备；总部网关设备可以为云防火墙，也可以为本地管理的防火墙（传统模式）或者第三方VPN网关设备。
  
  图4 多分支、单总部/数据中心（单Hub节点）互联组网示意
- 适用场景：
  海量小分支需要和总部/DC通信，只有一个总部/DC，或者对外仅体现一个公网地址，分支可以单条或者多条出口链路。
- 方案关键点：
  - 分支间、分支和总部间的网段不能有重叠。
  - 总部Hub节点为第三方VPN网关时，需要支持标准的IPsec对接，同时根据第三方VPN网关的能力做对应的站点规模的规划。
  - IPsec VPN方案中AR设备不支持作为总部Hub节点，只能用防火墙。针对防火墙设备，总部安全需求、策略比较复杂，建议采用传统模式。
  - AR仅支持Hub-spoke模型。当开启“智能选路”功能后，AR不能作为分支出口网关设备。
IPsec VPN 多Hub组网
- 组网方案简介：
  IPsec VPN 多Hub节点组网前提是开启“智能选路”功能，分支通过多条上行链路（多条有线链路、或者有线+LTE无线链路）出口和多总部/DC互联，或者一个总部多个对外出口，即多Hub节点互联。分支出口网关设备是云防火墙；总部网关设备可以为本地管理的防火墙（传统模式）或者第三方VPN网关设备。
  
  图5 分支多链路、多总部/数据中心（多Hub节点）互联组网示意
- 适用场景：
  海量小分支需要和多总部/DC通信，分支需要访问总部业务，通过多个总部/DC出口接入或者通过多个中心机房接入企业DC，两个中心站点内部需要提供相同的业务，为考虑可靠性，一般要求分支部署多条上行链路，可以为两条有线链路，或者一条有线线路（作为主用线路）和一条无线线路（作为备用线路）。
- 方案关键点：
  - 分支多条链路上行时，通过开局配置的方式线下配置出口链路参数。分支站点推荐配置两条出口线路，可以两条有线线路，或者一条主用的有线线路和一条备份的LTE无线线路。
  - Hub节点可以为多个总部/DC；或者一个总部/DC有多个公网IP地址，在互联模型上，实际可以当做多个Hub点来链接。
  - 多个Hub点的子网网段必须相同（防火墙同一时刻只会选择一个Hub建立通道，所以必须保证Hub内的业务相同，否则连接不同的Hub点，业务范围就会有差异）。
  - Hub节点的主备顺序，需要根据对应DC站点的实际顺序定义，同时需要先开通到主Hub节点的链路，保证Spoke站点可以先链接到主Hub节点。