华为乾坤-VPN配置:背景信息

时间：2023-11-06 16:00:31

华为乾坤 IPsec VPN互联

背景信息

根据实际情况，添加需要互联的分支、总部站点，并创建“点对点”或“点对多点”的VPN隧道，配置互联相关的信息。

为提升数据传输的安全性，用户可以在防火墙、AR与对端设备之间建立IPsec隧道，将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证，可以保障关键业务数据在Internet中安全传输，降低信息泄漏的风险。

在Hub-Spoke场景中，V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后，防火墙会选用最先配置的链路建立IPsec隧道，并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值，防火墙会切换到其他链路建立IPsec隧道，并继续检测IPsec隧道的时延和丢包率，直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限（缺省为3次）。启用智能选路功能后，Hub和Spoke的选取规则如下：

设备角色	约束条件
Hub	当前只支持防火墙或第三方设备作为Hub设备。已作为Spoke使用的设备不能同时作为Hub使用。非智能选路场景下，只支持1台Hub设备，一个VPN中的Hub设备不能和其他VPN重复。智能选路场景下，最多支持10台Hub设备。子网数必须大于0，且不能大于16。
Spoke	已作为Hub使用的设备不能同时作为Spoke使用。一个Spoke设备最多在3个VPN中。一个VPN最多支持32台互访设备或者200台不互访设备。 Spoke子网网段不能重叠。 VPN最后一个Spoke节点不允许删除。子网数必须大于0，且不能大于16。