华为乾坤-VPN配置:背景信息
背景信息
根据实际情况,添加需要互联的分支、总部站点,并创建“点对点”或“点对多点”的VPN隧道,配置互联相关的信息。
为提升数据传输的安全性,用户可以在防火墙、AR与对端设备之间建立IPsec隧道,将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证,可以保障关键业务数据在Internet中安全传输,降低信息泄漏的风险。
在Hub-Spoke场景中,V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后,防火墙会选用最先配置的链路建立IPsec隧道,并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值,防火墙会切换到其他链路建立IPsec隧道,并继续检测IPsec隧道的时延和丢包率,直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限(缺省为3次)。启用智能选路功能后,Hub和Spoke的选取规则如下:
设备角色 |
约束条件 |
---|---|
Hub |
|
Spoke |
|
- 当前仅支持一级租户下的用户进行“站点间互联”配置。
- 低于V300R003C10版本的AR设备不支持配置IPsec VPN。
- AR设备不支持Mesh组网,也不支持作为Hub节点,可作为Spoke节点。
- AR设备不支持开启IPsec 智能选路。
- AR设备不支持通过设备SN和FQDN方式进行身份认证。