Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用自定义选项配置安全边缘连接器

使用自定义选项配置隧道调配或支持站点到站点 VPN。

瞻博网络 Mist™ 提供自定义隧道配置选项。通过最小的配置,WAN 边缘设备就可以使用 IPsec 或 GRE 协议建立与 SSE 的连接。

配置隧道配置

开始之前:确保您手头有本地和远程网络帐户详细信息。

要配置隧道:

  1. 从左侧菜单中,导航到 WAN Edge 模板、中心配置文件或设备。
  2. 滚动到 Secure Edge Connectors 部分,单击添加提供商,然后输入设置:
    • 名称 - 输入服务的名称。
    • 提供商 - 选择自定义。
    • 远程网络 - 选择现有网络或创建网络。
    • 协议 — 选择 IPsecGRE。然后输入所选协议的设置。
    表 1:协议设置
    字段 说明
    本地 ID (仅限 IPsec) 输入本地帐户的登录 ID。
    预共享密钥(明文)( 仅限 IPsec) 输入本地帐户的预共享密钥 (PSK)。PSK 的长度必须介于 6-255 个字符之间。
    IP 或主机名 输入 IP 地址或主机名。
    源 IP 输入隧道的源 IP 地址。
    探测 IP 输入探测 IP 地址。您可以使用任何已知的 IP(例如:8.8.8.8)。
    远程 ID (仅限 IPsec) 提供远程帐户的登录 ID。
    WAN 接口 添加一个或多个 WAN 接口以配置主隧道和辅助隧道。如果添加多个 WAN 接口,则优先使用第一个接口。如果第一个接口关闭,则系统使用第二个接口建立隧道。

    单击“添加接口”后,从已为所选模板、中枢配置文件或设备配置的 WAN 列表中进行选择。
    IKEv2 提议 (仅限 IPsec) 保留默认值或点击添加提议。然后选择输入设置。
    生存期(仅限 IPsec) 输入一个介于 180 到 86400 秒之间的值。

  3. 单击提供商面板底部的添加
  4. 向下滚动到路由部分,单击添加 BGP 组,然后输入设置。

    提示:

    • 对于对等网络,选择在前面步骤中创建的同一 SEC 提供程序。

    • 对于本地 AS,输入 WAN Edge 的 AS 编号或非默认 AS。

      如果选择了 GRE 协议,请按以下步骤配置 BGP 组:

      • 名称:为 BGP 组命名,例如 BGP-over-GRE

      • 对等网络:选择 SEC 隧道,然后选择在上述步骤 2 中配置的隧道。

      • 选择 “广告到叠加”

      • BFD:选择 “已禁用”

      • 类型:选择外部。

      • 本地 AS:输入正在使用的 AS 的编号,例如 65000。

      • 保持时间:指定一个时间,以秒为单位,例如 90。

      • 平滑重启时间:指定时间(以秒为单位),例如 120。

    • 在邻居部分中,单击 添加邻居。添加邻接方 IP 和邻接方 AS 值。

    • 或者,您可以为路由的导入或导出添加 BGP 策略。

    有关其他 BGP 设置的帮助,请参阅 BGP
  5. 添加 BGP 组。
  6. 滚动到“流量引导”部分,单击“添加流量引导”,然后输入设置。
    • 名称 (Name) - 输入流量引导配置文件的名称。
    • 策略 - 选择策略。您可以根据拓扑和配置使用任何策略(有序加权ECMP)配置流量引导配置文件。
    • 路径 (Path) - 单击 添加路径 (Add Paths) 并输入以下详细信息:
      • 类型 - 选择安全边缘连接器
      • 提供商 - 选择自定义。
      • 名称 - 选择您在上一步中创建的自定义连接器的名称。
  7. 添加流量引导策略。
  8. 单击页面右上角的保存以保存整个配置。
  9. 通过滚动到转到“应用程序策略”部分来添加应用程序策略。有关帮助,请参阅应用程序策略

    应用策略允许所需的网络使用路由表访问更具体的应用。在应用策略中,可以包含在上一步中创建的远程网络。在应用策略中使用该网络以允许来自安全边缘连接器的入站访问。

配置站点到站点 VPN

支持站点到站点 VPN

您可以使用自定义隧道调配选项来设置站点到站点 VPN。

站点到站点 VPN 是一种安全的软件定义网络连接,可通过互联网连接两个或两个以上的远程站点。这种类型的 VPN 对于希望安全高效地连接分支机构、数据中心或其他远程位置的企业至关重要。

  1. 转至瞻博网络 Mist 门户,然后导航至 WAN 边缘模板级别、中枢配置文件或站点级别的安全边缘连接器部分。

  2. 单击 添加提供商

  3. 对于 Provider,选择 Custom 选项。

  4. 输入隧道调配所需的详细信息,例如本地和远程网络帐户详细信息、IP 地址和预共享密钥。

  5. 定义 IKEv2 和 IPsec 提议,包括加密和身份验证算法、Diffie-Hellman 组和生存期。您必须选择与隧道另一端上的设备匹配的 IKE 和 IPsec 值。

  6. 为主隧道和辅助隧道分配 WAN 接口。

  7. 创建流量引导配置文件。此配置文件定义流量如何通过 VPN 隧道路由。然后,在应用程序策略中使用此配置文件将这些设置应用于特定类型的流量。

  8. 创建入站或出站应用程序策略。如果要允许来自远程网络的流量进入本地网络,则需要创建一个表示远程网络的网络。将此网络附加到自定义安全边缘连接器 (SEC) 提供程序,并将其用作应用程序策略中的源。

验证

瞻博网络Mist门户上,您可以在 WAN Edge > WAN Edge 中验证已建立隧道的详细信息,然后单击 WAN Edge 洞察。在“WAN 边缘事件”下查找 WAN 边缘隧道自动配置成功

更新模板后,IPsec 配置将推送到 WAN Edge 设备。对于首次 IPSec 部署,系统需要一些时间来下载软件和配置。

部署 IPsec 配置后,可以通过导航到 WAN Edge > WAN Edge 来查看 IPsec 状态。单击设备名称,然后向下滚动到瞻博网络 Mist 门户中的 Secure Edge Connector 详细信息 部分。

要验证您创建的基于WAN Edge 的 BGP GRE 会话,可以使用 WAN Edge 测试工具:

  • > WAN边缘 > 公用事业 > 测试工具

    打开 BGP > Summary 选项卡,或打开 Routes > Show Routes