Wiedza Jak skonfigurować sieć VPN między urządzeniem QuWAN a urządzeniem Cisco® Meraki®?

Szczegóły​


Ten przewodnik opisuje kroki niezbędne do ustanowienia połączenia VPN między urządzeniem QuWAN a urządzeniem zabezpieczającym Meraki® MX64. Chociaż ekosystem Cisco® oferuje różne urządzenia z funkcją sieci VPN, ten samouczek skupia się konkretnie na urządzeniu Meraki® MX64 jako przykładzie.
Ważne
  • Sieć VPN QuWAN obsługuje wyłącznie protokół IKEv2.
  • Oba urządzenia (QuWAN i Cisco®) muszą używać tych samych ustawień konfiguracyjnych, aby sieć VPN działała prawidłowo.
  • Urządzenie QNAP musi zostać dodane do QuWAN Orchestrator przed skonfigurowaniem sieci VPN. Informacje na temat dodawania urządzenia można znaleźć w Pomocy QuWAN i QuWAN Orchestrator: Konfiguracja | QuWAN i QuWAN Orchestrator — Pomoc (qnap.com)
Ostrzeżenie
Wdrożenie sieci VPN zwiększa złożoność sieci. Przed jej włączeniem należy upewnić się, że rozumiesz związane z tym implikacje dotyczące bezpieczeństwa.

Procedura​


Konfiguracja sieci VPN na urządzeniu Cisco® Meraki®​


  1. Zaloguj się do interfejsu konfiguracyjnego urządzenia Meraki® MX64.
  2. Przejdź do strony Security & SD-WAN > Configure > Site-to-site VPN.
  3. W sekcji Non-Meraki VPN peers kliknij Add a peer i wprowadź następujące informacje:
    • Wprowadź opisową nazwę (np. QuWAN Site-to-Site VPN).
    • Wybierz IKEv2 jako wersję IKE.
  4. Kliknij Default w sekcji IPsec policies i skonfiguruj następujące ustawienia:

    UstawienieDziałanie użytkownikaPrzykładowa wartość
    Faza 1
    SzyfrowanieWybierz metodę szyfrowania.AES-128
    UwierzytelnianieWybierz funkcję skrótu.SHA-256
    Pseudolosowa funkcja (PRF)Wybierz funkcję PRF skrótu.SHA-256
    Grupa Diffiego-HellmanaOkreśl grupę DH.14
    Czas życiaOkreśl czas życia połączenia (w sekundach).28800
    Faza 2
    SzyfrowanieWybierz metodę szyfrowania.AES-128
    UwierzytelnianieWybierz funkcję skrótu.SHA-256
    Grupa PFSOkreśl grupę PFS.14
    Czas życia (sekundy)Określ czas życia transferu danych (w sekundach).3600

    13887b898b5d5ce9076dd17ca363f126.png
  5. Wprowadź następujące informacje dotyczące zdalnej bramy:
    • Publiczny adres IP lub nazwa hosta zdalnego urządzenia QuWAN.
    • Określ wewnętrzne podsieci zdalnej lokalizacji.
    • Wprowadź silny klucz wstępny i skonfiguruj ten sam klucz na zdalnej bramie.
  6. Kliknij Save.
    Urządzenie MX64 zastosuje konfigurację.

Konfiguracja sieci VPN w QuWAN Orchestrator​


  1. Zaloguj się do QuWAN Orchestrator przy użyciu danych logowania QNAP ID.
  2. Wybierz swoją organizację.
  3. Przejdź do QuWAN Topology > Route-Based VPN.
  4. Kliknij Create New Connection.
    Zostanie wyświetlone okno Create New Connection.
  5. Skonfiguruj ustawienia połączenia VPN opartego na trasach.
    UstawienieOpis
    Nazwa połączeniaPrzypisz opisową nazwę (np. Meraki Site-to-Site VPN).
    Tryb IPsecWybierz Tunnel Mode.
    HubWyznacz odpowiedni hub dla połączenia.
    Interfejs WANWprowadź żądany interfejs WAN.
    Zdalny adres IP lub nazwa hostaPodaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy.
    Test połączenia (opcjonalnie)Kliknij przycisk, aby wysłać polecenie ping do adresu IP/nazwy hosta w celu potwierdzenia połączenia.
    Klucz wstępnyUstaw silny klucz wstępny, zapewniając identyczną konfigurację na zdalnej bramie.
  6. Skonfiguruj zaawansowane ustawienia połączenia VPN opartego na trasach.
    UstawienieDziałanie użytkownikaPrzykładowa wartość
    Internet Key Exchange (IKE)
    WersjaWybierz IKEv2.-
    Algorytm uwierzytelnianiaWybierz niezawodny algorytm uwierzytelniania.AES-128
    SzyfrowanieWybierz silną metodę szyfrowania.AES-128
    Grupa DHWybierz bezpieczną grupę DH.14
    Czas życia skojarzenia zabezpieczeń (SA)Określ czas trwania skojarzenia zabezpieczeń (SA) IKE, aby zmniejszyć ryzyko kryptograficzne związane z ujawnieniem klucza.480
    Lokalny identyfikator (opcjonalnie)W przypadku korzystania z usługi Dynamic DNS (DDNS) dla połączenia VPN opartego na trasach należy podać lokalny identyfikator.-
    Encapsulating Security Payload (ESP)
    Algorytm uwierzytelnianiaWybierz algorytm uwierzytelniania.SHA-256
    SzyfrowanieWybierz metodę szyfrowania.AES-128
    Włącz Perfect Forward Secrecy (PFS)Zaznacz pole wyboru, aby wygenerować nowy klucz DH.-
    Grupa DHOkreśl bezpieczną grupę DH.14
    Czas życia skojarzenia zabezpieczeń (SA)Określ czas trwania skojarzenia zabezpieczeń (SA).60 minut
    Włącz Dead Peer Detection (DPD)Zaznacz pole wyboru, aby wykrywać awarie urządzeń równorzędnych i reagować na nie.-
    Limit czasu DPDOkreśl wartość limitu czasu DPD.10 sekund
  7. Obok opcji Enable NAT mode zaznacz pole wyboru, aby zapewnić prawidłowe działanie połączenia VPN nawet w przypadku obecności urządzeń NAT w sieci.
  8. Podaj lokalny adres IP tunelu, aby umożliwić przechodzenie przez NAT.
  9. W sekcji Site Subnets kliknij Add Subnet i zdefiniuj wewnętrzną podsieć sieci zdalnej, do której chcesz uzyskać dostęp.
  10. Kliknij Save.

Jeśli połączenie VPN oparte na trasach zostanie nawiązane pomyślnie, w polu Status zostanie wyświetlony stan Connected.

45a60c894db65499c165df3b9c2d3668.png


Materiały dodatkowe​


Ustawienia Meraki® Site-to-Site VPN
 
Kliknij, aby rozwinąć...
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.
Początek strony Dół
Z powrotem