Skip to main content

 

Cisco Meraki Documentation

站点到站点 VPN 设定

  1. Last updated
  2. Save as PDF

To view this article in English, click here.

站点到站点 VPN

Meraki AutoVPN 技术是一种独特的解决方案,只需点击一下鼠标就能创建站点到站点 VPN 隧道。在通过控制面板启用后,每个加入的 MX/Z1 设备会自动执行以下操作:

  • 通告加入 VPN 的本地子网。
  • 通告互联网 1 和互联网 2 端口上的 WAN IP 地址。
  • 从控制面板下载全局 VPN 路由表(由控制面板根据 VPN 网络中每个 MX 的已通告的 WAN IP/本地子网自动生成)。
  • 下载用于建立 VPN 隧道和流量加密的预共享密钥。

最终得到的是自动化网状站点到站点 VPN 解决方案(只需点击一下鼠标便完成配置)。

设置站点到站点 VPN

可通过安全设备 > 配置 > 站点到站点 VPN 页面访问站点到站点 VPN 设置。

类型

可以通过以下三个选项在 AutoVPN 拓扑中配置 MX/Z1 的角色:

  • :MX/Z1 不加入站点到站点 VPN。
  • 中心(网状):MX/Z1 设备将建立通往所有远程 Meraki VPN 对等点(也在该模式下配置)以及处于中心辐射模式(将 MX/Z1 设备配置为中心)下的任何 MX/Z1 设备的 VPN 隧道。
  • 辐射:此 MX/Z1 设备(辐射)将建立仅通往指定的远程 MX/Z1 设备(中心)的直接隧道。其他辐射可通过各自的中心访问,除非被站点到站点防火墙规则所阻止。

隧道

配置为辐射的 MX/Z1 设备可以使用两种隧道模式:

  • 拆分隧道(无默认路由):仅发送站点到站点流量,意味着如果子网位于远程站点,则通过 VPN 发送指向该子网的流量。但是,如果流量以不在网状 VPN 中的某个网络为目的(例如,流向公共 Web 服务如 www.google.com 的流量),则该流量不通过 VPN 发送。相反,该流量使用另一条可用的路由,最常见的是从本地 MX 设备直接发送至互联网。拆分隧道允许用户配置多个中心。
  • 全隧道(默认路由):配置的退出中心通过 AutoVPN 向辐射 MX 通告默认路由。指向通过其他路由不可访问的子网的流量将通过 VPN 发送至退出中心。全隧道需要指定单一的全隧道退出中心

中心

当设备被配置为辐射并设置为拆分隧道时,可以为该设备配置多个 VPN 中心。在此配置中,辐射 MX 将所有站点到站点流量发送至其配置的 VPN 中心。

配置多个 VPN 中心

要添加更多中心,请点击选择的现有中心下方的“添加另一个中心”按钮。请注意:中心只能是处于网状 VPN 模式的设备,因此控制面板组织中网状 VPN 设备的数量代表了可以为任意给定设备配置的最大中心数。

此页面上中心的配置顺序即为中心优先顺序。当一个以上的 VPN 中心通告同一子网时,使用中心优先顺序决定要使用哪个中心。优先级最高的中心 a) 通告子网并且 b) 当前可通过 VPN 访问,将用于访问该子网。

通过点击相应中心右侧的灰色“X”,可以删除中心。通过点击并拖动列表中任意中心右侧的灰色四点箭头图标将该中心向上或向下移动,可以重新排列中心优先顺序列表。

退出中心

仅当为辐射 MX 配置了隧道或者将 MX 配置为中心时,此选项才可用。此选项允许您指定接收来自本地 MX 设备的所有网络流量的远程 MX 设备。

全隧道 VPN 上的安全功能

在全隧道拓扑中,必须在全隧道客户端上执行所有安全和内容过滤。退出中心不会对通过 VPN 传入的流量应用内容过滤、IPS 阻止或恶意软件扫描。但是,将对此流量执行 IDS 扫描。

集中器优先顺序

集中器优先顺序决定了中心(网状)模式下设备将如何访问从一个以上的 Meraki VPN 对等点通告的子网。类似于中心优先顺序,列表中优先级最高的集中器 a) 通告子网并且 b) 当前可通过 VPN 访问,将用于此类子网。必须注意的是,仅处于网状模式的设备使用集中器优先顺序。处于中心辐射模式的设备将忽略集中器优先顺序,而是使用其中心优先顺序。

 

NAT 遍历

如果 MX 设备在防火墙或其他 NAT 设备的后方,则可以使用以下两个选项建立 VPN 隧道:

  • 自动:在绝大多数情况下,MX 设备可使用名为“点对点 UDP 连接”的技术自动建立与远程 Meraki VPN 对等点的站点到站点 VPN 连接,即使通过防火墙或 NAT 设备亦可。这是推荐(和默认)选项。
  • 手动端口转发:如果自动选项不起作用,您可以使用此选项。当手动端口转发启用时,Meraki VPN 对等点使用指定的公共 IP 地址和端口号联系 MX 设备。您将需要配置上游防火墙以将该端口的所有传入流量转发至 MX 设备的 IP 地址。

 

确保您选择的端口号尚未被其他服务使用。

本地网络

如果您有多个局域网子网,您可以指定要加入 VPN 的 VLAN 和静态路由。

 

仅当通告同一个子网的所有设备均处于直通或 VPN 集中器模式时,才可以从一个以上的设备通告该子网。。从处于 NAT 模式的设备通告的所有子网在 AutoVPN 拓扑中必须是唯一的。

MX 设备具有静态局域网路由的子网也可以通过 VPN 通告。如果您选择通过 VPN 通告一个静态路由子网,为了维持路由对称性,请确保每个子网的网关设备均已配置为将远程 VPN 子网的流量路由至 MX 设备。

 

VPN 子网转换

默认情况下此功能未启用,请联系 Meraki 技术支持启用它。

在大型分布式网络中,多个网络的子网范围可能相同(即存在子网重叠)。站点到站点 VPN 通信要求每个站点具有不同且不重叠的本地子网。当多个位置具有相同本地子网时,启用 VPN 子网转换将本地子网转换为具有相同地址数的新的子网。

示例:

  • 分支机构 1 本地子网:192.168.31.0/24
  • 分支机构 2 本地子网:192.168.31.0/24(相同!)
  • 分支机构 1 已转换子网:10.0.1.0/24
  • 分支机构 2 已转换子网:10.0.2.0/24
在以上示例中,即使两个网络具有相同的本地子网,它们也可以使用其已转换的 VPN 子网通过 VPN 通信。通过 VPN 隧道,分支机构 1 可作为 10.0.1.0/24 访问,分支机构 2 可作为 10.0.2.0/24 访问。

OSPF 路由通告

当 MX 安全设备当前不支持完整 OSPF 路由时,OSPF 可用于向核心交换机或其他路由设备通告远程 VPN 子网,而无需创建到达这些子网的静态路由。仅 VPN 集中器模式支持 OSPF 通告。

通告远程路由:如果将其设置为“启用”,OSPF 将用于将远程 VPN 子网通告为可通过此集中器访问。

路由器 ID:此集中器将用来向邻居标识自身的 OSPF 路由器 ID

区域 ID:此集中器在发送路由通告时将使用的 OSPF 区域 ID。

成本:从此集中器通告的所有 OSPF 路由的附加路由成本。

Hello 计时器:集中器发送 OSPF Hello 数据包的频率。OSPF 拓扑中所有设备的频率应该是相同的。

邻居失效计时器:集中器等待来自特定 OSPF 邻居的 Hello 数据包多长时间(超过此时间后,会将该邻居视为不活动)。

MD5 身份验证:如果启用,将使用 MD5 散列对潜在 OSPF 邻居进行身份验证。这确保了没有未经授权的设备将 OSPF 路由注入网络。

身份验证密钥:MD5 密钥和口令。在任何您希望建立 OSPF 邻接关系的设备之间,这两个值必须匹配。

非 Meraki VPN 对等点

您可以在安全设备 > 配置 > 站点到站点 VPN 页面的非 Meraki VPN 对等点部分下创建 MX 设备与非 Meraki VPN 终端设备之间的站点到站点 VPN 隧道。只需点击添加对等点并输入以下信息:

  • 远程设备或 VPN 隧道的名称。
  • 远程设备的公共 IP 地址。
  • 您希望通过 VPN 连接到的第三方设备后方的子网。也可以指定 0.0.0.0/0 以定义到达此对等点的默认路由。
  • 要使用的 IPsec 策略。
  • 预共享密钥 (PSK)。
  • 可用性设置,用于确定控制面板组织中将连接到对等点的设备。

IPsec 策略

有三种可用的预设 IPsec 策略。

  • 默认:使用 Meraki 默认 IPsec 设置连接到非 Meraki 设备
  • AWS:使用默认设置连接到 Amazon VPC
  • Azure:使用默认设置连接到 Microsoft Azure 实例

如果这些预设都不合适,自定义选项允许您手动配置 IPsec 策略参数。这些参数划分为第 1 阶段和第 2 阶段。

第 1 阶段:

  • 加密:在 AES-128、AES-192、AES-256、DES 和 3DES 加密之间进行选择
  • 身份验证:选择 MD5 或 SHA1 身份验证
  • Diffie-Hellman 组:在 Diffie-Hellman (DH) 第 1、2 和 5 组之间进行选择
  • 生存时间(秒):输入以秒为单位的第 1 阶段生存时间

第 2 阶段:

  • 加密: AES-128、AES-192、AES-256、DES 和 3DES 加密之间进行选择(可以选择多个选项)
  • 身份验证: MD5 和 SHA1 身份验证之间进行选择(可以选择两个选项)
  • PFS 组:选择“关闭”选项禁用完全正向保密 (PFS)。选择第 1、2 或 5 组启用使用该 Diffie Hellman 组的 PFS。
  • 生存时间(秒):输入以秒为单位的第 2 阶段生存时间

对等点可用性

默认情况下,对您的控制面板组织中的所有 MX 或 Z1 设备应用非 Meraki 对等点配置。由于您控制的每台设备并非都需要与特定的非 Meraki 对等点建立隧道,“可用性”一栏允许您控制组织内部将连接到每个对等点的设备。此类控制基于网络标签,这是您可以应用于控制面板网络的标签。

当为对等点选中“所有网络”时,组织中的所有 MX 和 Z1 设备都将连接到该对等点。当您选中特定网络标签或标签集时,仅带有一个或多个指定标签的网络将连接到该对等点。

有关网络标签的更多信息,请参阅此处

VPN 防火墙规则

您可以添加防火墙规则以控制可以通过 VPN 隧道的流量。这些规则将应用于组织中所有加入站点到站点 VPN 的 MX 设备的出站 VPN 流量。它们不会应用于入站流量或不通过 VPN 的流量。要创建防火墙规则,点击安全设备 > 配置 > 站点到站点 VPN 页面上站点到站点防火墙部分的添加规则。这些规则的配置方式与本文档的防火墙设置页面上描述的第 3 层防火墙规则的配置方式相同。

监控站点到站点 VPN

您可以通过点击安全设备 > 监控 > VPN 状态来监控 Meraki 设备之间的站点到 VPN 隧道的状态。此页面提供配置的 Meraki 站点到站点 VPN 隧道的实时状态。它列出了通过 VPN 导出的子网、MX 设备与 Meraki VPN 注册表之间的连接信息、NAT 遍历信息以及所有隧道使用的加密类型。此外,站点连接列表提供远程 Meraki VPN 对等点的以下信息:

  • 远程 Meraki VPN 对等点的名称。
  • 远程对等点设备通过 VPN 通告的子网。
  • 状态(对等点当前是否可访问)。
  • VPN 上的往返数据包延迟(以毫秒为单位)。
  • 最后一次发送心跳数据包以确定 VPN 隧道状态的时间(以秒为单位)。
     

此页面显示非 Meraki 对等点的有限信息。

故障排除

请参考站点到站点 VPN 故障排除了解常见问题和故障排除步骤。

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    How-to
    Stage
    Final
  2. Tags
    1. simplified chinese