Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用自定义选项配置安全边缘连接器

使用自定义选项配置隧道调配或支持站点到站点 VPN。

瞻博网络 Mist™ 提供自定义隧道配置选项。通过最小的配置,WAN 边缘设备就可以使用 IPsec 或 GRE 协议建立与 SSE 的连接。

配置隧道配置

开始之前:确保您手头有本地和远程网络帐户详细信息。

要配置隧道:

  1. 从左侧菜单中,导航到 WAN Edge 模板、中心配置文件或设备。
  2. 滚动到 Secure Edge Connector 部分,单击添加提供商,然后输入内容:
    • 名称 - 输入服务的名称。
    • 提供商 - 选择自定义。
    • 远程网络 - 选择现有网络或创建网络。
    • 协议 — 选择 IPsecGRE。然后输入所选协议的设置。
    表 1:设置
    字段 说明
    本地 ID (仅限 IPsec) 输入本地帐户的登录 ID。
    预共享密钥(明文)( 仅限 IPsec) 输入本地帐户的预共享密钥 (PSK)。PSK 的长度必须介于 6-255 个字符之间。
    IP 或主机名 输入 IP 地址或主机名。
    源 IP 输入隧道的源 IP 地址。
    探测 IP 输入探测 IP 地址。您可以使用任何已知的 IP(例如:8.8.8.8)。
    远程 ID (仅限 IPsec) 提供远程帐户的登录 ID。
    WAN 接口 添加一个或多个 WAN 接口以配置主隧道和辅助隧道。如果添加多个 WAN 接口,则优先使用第一个接口。如果第一个接口关闭,则系统使用第二个接口建立隧道。

    单击“添加接口”时,从已为所选模板、中枢配置文件或设备配置的 WAN 列表中进行选择。
    IKEv2 提议 (仅限 IPsec) 保留默认值或点击添加提议。然后选择输入设置。
    辈子 输入一个介于 180 到 86400 秒之间的值。
  3. 单击提供商面板底部的添加
  4. 向下滚动到路由部分,单击添加 BGP 组,然后输入设置。

    技巧:

    • 对于对等网络,选择在前面步骤中创建的同一 SEC 提供程序。

    • 对于本地 AS,输入 WAN 边缘的 AS 编号或非默认 AS。

    • 如果选择了 GRE 协议,请按以下步骤配置 BGP 组:

      • 名称:为 BGP 组指定一个名称,例如 BGP-over-GRE

      • 对等网络:选择 SEC 隧道,然后选择在上述步骤 IV 中配置的隧道。

      • 选择 “广告到叠加”

      • BDF:选择 “已禁用”

      • 类型:选择外部。

      • 本地 AS:键入正在使用的 AS 的编号,例如 65000。

      • 保持时间:指定一个时间,以秒为单位,例如 90。

      • 平滑重启时间:指定一个时间,以秒为单位,例如 120。

    • 在邻居部分中,单击 添加邻居。添加 SSE 的 BGP 对等体 IP 地址和 AS 值。

    • 或者,您可以为路由的导入或导出添加 BGP 策略。

    有关其他 BGP 设置的帮助,请参阅 BGP
  5. 保存 BGP 组。
  6. 滚动到“流量引导”部分,单击“添加流量引导”,然后输入设置。
    • 名称 (Name) - 输入流量引导配置文件的名称。
    • 策略 - 选择策略。您可以根据拓扑和配置使用任何策略(有序加权ECMP)配置流量引导配置文件。
    • 路径 - 单击 添加路径并 输入以下详细信息。
      • 类型 - 选择安全边缘连接器
      • 提供商 - 选择自定义。
      • 名称 - 选择您在上一步中创建的自定义连接器的名称。
  7. 保存流量引导策略。
  8. 单击页面右上角的保存以保存整个配置。
  9. 添加应用策略。

    应用策略允许所需的网络使用路由表访问更具体的应用。在应用策略中,可以包含上一步创建的远程网络。在应用策略中使用该网络以允许来自安全边缘连接器的入站访问。若要创建应用程序策略,请在瞻博网络Mist云门户中,转到组织>WAN>应用程序策略。有关帮助,请参阅应用程序策略

配置站点到站点 VPN

支持站点到站点 VPN

您可以使用自定义隧道调配选项设置站点到站点 VPN。

站点到站点 VPN 是一种安全的软件定义网络连接,可通过互联网连接两个或两个以上的远程站点。这种类型的 VPN 对于希望安全高效地连接分支机构、数据中心或其他远程位置的企业至关重要。

  1. 转至瞻博网络 Mist 门户,然后导航至 WAN 边缘模板级别、中枢配置文件或站点级别的安全边缘连接器部分。

  2. 单击 添加提供商并 选择 自定义 选项。

  3. 输入隧道调配所需的详细信息,例如本地和远程网络帐户详细信息、IP 地址和预共享密钥

  4. 定义 IKEv2 和 IPsec 提议,包括加密和身份验证算法、Diffie-Hellman 组和生存期。您必须选择与隧道另一端上的设备匹配的 IKE 和 IPsec 值。

  5. 为主隧道和辅助隧道分配 WAN 接口。

  6. 创建流量引导配置文件。此配置文件定义流量如何通过 VPN 隧道路由。然后,在应用程序策略中使用此配置文件将这些设置应用于特定类型的流量。

  7. 创建入站或出站应用程序策略。如果要允许来自远程网络的流量进入本地网络,则需要创建一个表示远程网络的网络。将此网络附加到自定义安全边缘连接器 (SEC) 提供程序,并将其用作应用程序策略中的源。

验证

在瞻博网络 Mist 门户上,一旦 WAN Edge 事件下出现 Edge 隧道自动调配成功事件WAN ,您就可以在设备的 WAN Insights 中验证已建立的隧道详细信息。

更新模板后,IPsec 配置将推送到 WAN Edge 设备。首次部署IPSec时,系统需要一些时间来下载软件和配置。

部署 IPSec 配置后,可以通过导航到 WAN Edge > WAN Edge Name > Secure Edge Connector 详细信息来查看 IPsec 状态。

可以通过 导航到监控 > Insights > WAN Edge 来查看BGP邻居状态。

要验证您创建的 BGP over GRE 会话,可以使用 WAN 边缘测试工具:

  • WAN Edge > 公用事业 > 测试工具

    打开 BGP > Summary 选项卡,或打开 Routes > Show Routes