-
-
-
-
如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道
要为内部网或局域网服务配置 IPsec 隧道,请执行以下操作:
-
在 配置编辑器中,导航到 连接> 查看站点> [站点名称]> IPsec 隧道。选择 服务类型 (局域网或内部网)。
-
输入服务类型的 名称 。对于 Intranet 服务类型,配置的 Intranet 服务器将确定哪些本地 IP 地址可用。
如果 WAN 链路在设备上直接终止,并且向 WAN 链路分配了动态 IP,Citrix SD-WAN 现在可以建立 IPsec 隧道。
在 11.1.0 版本中,当本地隧道 IP 地址不知道或无法知道时,必须可配置 Intranet IPsec 隧道。这有助于在通过 DHCP 分配地址的接口上创建 IPsec 隧道。
在为 IPsec 隧道配置接口时,必须提及本地隧道 IP。此接口被修改为允许在隧道类型为 Intranet时选择空 IP。
此外,当隧道类型为 Intranet 时,未设置地址的标签将更改为 自动。
如果本地 IP 设置为 自动,则它能够获取为该 WAN 链路上的接入接口合并的 IP 地址。该 WAN 链路访问接口可能会静态配置或从 DHCP 获取 IP。默认情况下,IPsec 隧道是使用主 WAN 链路访问接口建立的。
之前,您可以通过单个 WAN 链路建立 IPSec 隧道。这会使分支环境在完全链路故障期间以及在链路上的数据包丢失过高以实现可靠连接时出现服务丢失。
从 11.1.0 版本开始,您可以使用两个 WAN 链路建立 IPsec 隧道,以保护分支机构环境免受服务中断的影响。如果主链路断开,辅助链路会在毫秒内变为活动/向上。
注意
如果选择 < 自动 >选项,则使用主 WAN 链接访问接口建立 IPsec 隧道。如果主 WAN 链路关闭,则使用辅助 WAN 链路访问接口建立 IPsec 隧道。
-
选择可用的 本地 IP 地 址,然后输入 IPsec 隧道的 对等 IP 地址。
注意
如果服务类型是 Intranet,则 IP 地址由所选 Intranet 服务预先确定。
-
通过应用下表中描述的条件来配置 IPsec 设置。完成后,单击 应用 以保存设置。
字段 | 说明 | 值 |
---|---|---|
服务类型 | 从下拉菜单中选择服务类型 | 内联网、局域网 |
名称 | 如果服务类型为 Intranet,请从下拉菜单中的已配置 Intranet 服务列表中进行选择。如果服务类型为 LAN,请输入唯一名称 | 文本字符串 |
本地知识产权 | 从此站点配置的可用虚拟 IP 地址下拉菜单中选择 IPsec 隧道的本地 IP 地址 | IP 地址 |
对等 IP | 输入 IPsec 隧道的对等 IP 地址 | IP 地址 |
MTU | 输入 MTU 以对 IKE 和 IPSec 片段进行分段 | 默认值:1500 |
IKE 设置 | 版本:从下拉菜单中选择 IKE 版本 | IKEv1 IKEv2 |
模式 | 从下拉菜单中选择模式 | 符合 FIPS 标准:主要、不符合 FIPS 标准:侵略性 |
身份 | 从下拉菜单中选择身份 | 自动 IP 地址手动 IP 地址用户 FQDN |
身份验证 | 从下拉菜单中选择身份验证类型 | 预共享密钥:如果您使用的是预共享密钥,请将其复制并粘贴到此字段中。单击眼球 () 图标可查看预共享密钥。证书:如果您使用的是身份证书,请从下拉菜单中选择该证书。 |
验证对等标识 | 选中此复选框可验证 IKE 的对等项。如果对等体的 ID 类型不受支持,请不要启用此功能 | 无 |
DH Group | 从下拉菜单中选择 Diffie-Hellman 组用于 IKE 密钥生成 | 不符合 FIPS 标准:组 1、FIPS 合规:组 2 组 5 组 14 组 15 组 16 组 19 组 20 组 21 |
哈希算法 | 从下拉菜单中选择一种算法来验证 IKE 消息 | 不符合 FIPS 要求:符合 MD5 FIPS 要求:SHA1 SHA-256 |
加密模式 | 从下拉菜单中选择 IKE 消息的 加密模式 | AES 128 位 AES 192 位 AES 256 位 |
生命周期(秒) | 输入 IKE 安全关联存在的首选持续时间(以秒为单位) | 3600 秒(默认值) |
最大使用寿命 | 输入允许存在 IKE 安全关联的最大首选持续时间(以秒为单位) | 86400 秒(默认值) |
DPD 超时 | 输入 VPN 连接的 死对等检测超时(以秒为单位) | 300 秒(默认值) |
IKEv2 | 对等验证:从下拉菜单中选择 对等身份验证 | 镜像预共享密钥证书 |
IKE2-预共享密钥 | 对等预共享密钥:将 IKEv2 对等预共享密钥粘贴到此字段中以进行身份验证。单击眼球 () 图标查看预共享密钥 | 文本字符串 |
完整性算法 | 从下拉菜单中选择一个算法作为用于 HMAC 验证的哈希算法 | 不符合 FIPS 要求:符合 MD5 FIPS 要求:SHA1 SHA-256 |
注意:
如果终止的 IPsec 路由器在配置中包含基于哈希的消息身份验证码 (HMAC),请将 IPsec 模式更改为 Exp+Auth ,并使用哈希算法作为 SHA1。
IPsec 和 IPsec 受保护的网络设置:
字段 | 说明 | 值 |
---|---|---|
隧道类型 | 从下拉菜单中选择 隧道类型 | ESP 环境保证 + 环境保证 + 环境保证 + 空 AH |
PFS 组 | 从下拉菜单中选择 Diffie-Hellman 组用于完美的向前保密密钥生成 | 无 组 1 组 2 组 5 组 14 组 15 组 16 组 19 组 20 组 21 |
加密模式 | 从下拉菜单中选择 IPsec 消息的加 密模式 | 如果选择 ESP 或 ESP+ 身份验证,请选择以下任一项:AES 128 位、AES 192 位、AES 256 位、AES 128 位 GCM 64 位、AES 192 位 GCM 64 位、AES 256 位 GCM 64 位、AES 192 位 GCM 96 位、AES 192 位 GCM 96 位、AES 256 位 GCM 96 位、AES 256 位 GCM 96 位、AES 128 位 2 位 GCM 128 位、AES 256 位GCM 128 位。AES 128/192/256 位受加拿大广播公司支持。 |
生命周期(秒) | 输入允许 IPsec 安全关联存在的时间量(以秒为单位) | 28800 秒(默认值) |
最大寿命 | 输入允许 IPsec 安全关联存在的最长时间(以秒为单位) | 86400 秒(默认值) |
生命周期 (KB) | 输入 IPsec 安全关联存在的数据量(以千字节为单位) | 千字节 |
生命周期 (KB) 最大 | 输入允许 IPsec 安全关联存在的最大数据量(以千字节为单位) | 千字节 |
网络不匹配行为 | 从下拉菜单中选择数据包与 IPsec 隧道的受保护网络不匹配时要采取的操作 | 删除,发送未加密,使用非 IPsec 路由 |
IPsec 保护网络 | 源 IP/前缀:单击添加 (+ 添加) 按钮后,输入 IPsec 隧道将保护的网络流量的 源 IP 和前缀 | IP 地址 |
IPsec 保护网络 | 目标 IP/前缀:输入 IPsec 隧道将保护的网络流量的 目标 IP 和前缀 | IP 地址 |
注意
Citrix SD-WAN 支持通过 IPsec 连接到 Oracle 云基础设施 (OCI)。
监视 IPsec 隧道
导航到 SD-WAN 设备 GUI 中的 监视 > IKE/IPsec ,以查看和监视 IPsec 隧道配置。
共享
共享
在本文中
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.