Jak skonfigurować połączenie VPN typu lokacja-lokacja między urządzeniami QuWAN i Cisco® Meraki®?
Data ostatniej modyfikacji:
2025-02-18
Dotyczy produktów
- QuWAN Orchestrator
- QuRouter 2.4.0 i nowsze wersje
- Urządzenie Cisco® Meraki®
Informacje szczegółowe
W tym przewodniku opisano procedurę tworzenia połączenia VPN typu lokacja-lokacja między urządzeniem QuWAN a urządzeniem zabezpieczającym Meraki® MX64. Różne urządzenia należące do ekosystemu Cisco® są wyposażone w funkcję połączenia VPN typu lokacja-lokacja, ale w celach demonstracyjnych w tym samouczku skupimy się na urządzeniach Meraki® MX64.
Ważne
- Na urządzeniach QuWAN połączenia VPN typu lokacja-lokacja obsługują tylko protokół IKEv2.
- Do prawidłowego działania połączenia VPN wymagane jest, aby na obu urządzeniach (QuWAN i Cisco®) były używane takie same ustawienia konfiguracji.
- Przed skonfigurowaniem połączenia VPN typu lokacja-lokacja należy dodać urządzenie QNAP do platformy QuWAN Orchestrator. Więcej informacji na ten temat można znaleźć w zasobach pomocy dotyczących urządzeń QuWAN i platformy QuWAN Orchestrator: Konfiguracja | Pomoc dotycząca rozwiązań QuWAN i QuWAN Orchestrator (qnap.com)
Ostrzeżenie
Wdrożenie połączenia VPN typu lokacja-lokacja wiąże się ze zwiększeniem złożoności struktury sieci. Przed włączeniem takiego połączenia należy zrozumieć implikacje w zakresie bezpieczeństwa.
Procedura
Konfiguracja połączenia VPN typu lokacja-lokacja na urządzeniu Cisco® Meraki®
- Zaloguj się do interfejsu konfiguracyjnego urządzenia Meraki® MX64.
- Przejdź do strony Security & SD-WAN (Bezpieczeństwo i SD-WAN) > Configure (Konfiguracja) > Site-to-site VPN (VPN typu lokacja-lokacja).
- W obszarze Non-Meraki VPN peers (Urządzenia równorzędne VPN inne niż Meraki) kliknij opcję Add a peer (Dodaj urządzenie równorzędne) i wprowadź następujące informacje:
- Podaj opisową nazwę (np. QuWAN VPN typu lokacja-lokacja).
- Wybierz wersję protokołu IKE IKEv2.
- Kliknij opcję Default (Domyślne) w obszarze IPsec policies (Zasady IPsec) i skonfiguruj następujące elementy:
Ustawienie Działanie użytkownika Przykładowa wartość Faza 1 Szyfrowanie Wybierz metodę szyfrowania. AES-128 Uwierzytelnianie Wybierz funkcję haszującą. SHA-256 Funkcja pseudolosowa (PRF) Wybierz funkcję haszującą PRF. SHA-256 Grupa Diffie-Hellman Wskaż grupę DH. 14 Okres istnienia Podaj okres istnienia połączenia (w sekundach). 28800 Faza 2 Szyfrowanie Wybierz metodę szyfrowania. AES-128 Uwierzytelnianie Wybierz funkcję haszującą. SHA-256 Grupa PFS Wskaż grupę PFS. 14 Okres istnienia (w sekundach) Podaj okres istnienia transferu danych (w sekundach). 3600 
- Podaj następujące informacje dotyczące bramy zdalnej:
- Publiczny adres IP lub nazwa hosta zdalnego urządzenia QuWAN.
- Określ podsieci wewnętrzne w lokalizacji zdalnej.
- Wprowadź silny klucz wstępny i skonfiguruj ten sam klucz na bramie zdalnej.
- Kliknij przycisk Save (Zapisz).
Konfiguracja zostanie zastosowana na urządzeniu MX64.
Konfiguracja połączenia VPN typu lokacja-lokacja na platformie QuWAN Orchestrator
- Zaloguj się na platformie QuWAN Orchestrator za pomocą poświadczeń przypisanych do identyfikatora QNAP ID.
- Wybierz organizację.
- Wybierz kolejno Topologia QuWAN > Połączenie trasowane VPN.
- Kliknij opcję Utwórz nowe połączenie.
Zostanie wyświetlone okno Utwórz nowe połączenie. - Skonfiguruj ustawienia połączenia trasowanego VPN.
Ustawienie Opis Nazwa połączenia Podaj opisową nazwę (np. Meraki VPN typu lokacja-lokacja). Tryb IPsec Wybierz opcję Tryb tunelu. Hub Wyznacz odpowiedni hub na potrzeby połączenia. Interfejs WAN Wprowadź odpowiedni interfejs WAN. Zdalny adres IP lub nazwa hosta Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy. Testuj połączenie (opcjonalnie) Kliknij przycisk, aby wysłać polecenie ping na adres IP lub do hosta w celu sprawdzenia połączenia. Klucz wstępny Utwórz silny klucz wstępny i zadbaj o to, aby konfiguracja na zdalnej bramie była identyczna. - Skonfiguruj zaawansowane ustawienia połączenia trasowanego VPN.
Ustawienie Działanie użytkownika Przykładowa wartość Internet Key Exchange (IKE) Wersja Wybierz opcję IKEv2. - Algorytm uwierzytelniania Wybierz niezawodny algorytm uwierzytelniania. AES-128 Szyfrowanie Wybierz metodę silnego szyfrowania. AES-128 Grupa DH Wybierz bezpieczną grupę DH. 14 Czas życia skojarzenia zabezpieczeń (SA) Określ czas życia skojarzenia zabezpieczeń (SA) IKE, aby zmniejszyć zagrożenie kryptograficzne związane z ujawnieniem klucza. 480 Identyfikator lokalny (opcjonalnie) Jeśli połączenie trasowane VPN będzie nawiązywane z użyciem usługi Dynamic DNS (DDNS), należy podać identyfikator lokalny. - Encapsulating Security Payload (ESP) Algorytm uwierzytelniania Wybierz algorytm uwierzytelniania. SHA-256 Szyfrowanie Wybierz metodę szyfrowania. AES-128 Włącz doskonałe utajnianie z wyprzedzeniem (PFS) Zaznacz pole, aby wygenerować nowy klucz DH. - Grupa DH Wskaż bezpieczną grupę DH. 14 Czas życia skojarzenia zabezpieczeń (SA) Podaj czas życia skojarzenia SA. 60 minut Włącz wykrywanie martwego elementu równorzędnego (DPD) Zaznacz to pole, aby wykrywać awarie urządzeń równorzędnych i reagować na nie. - Limit czasu DPD Podaj wartość limitu czasu DPD. 10 s - Zaznacz pole wyboru Włącz tryb NAT, aby zapewnić prawidłowe działanie połączenia VPN również wtedy, gdy w sieci znajdują się urządzenia NAT.
- Podaj adres IP tunelu lokalnego, aby ułatwić działanie przechodzenia NAT.
- W obszarze Podsieci lokacji kliknij opcję Dodaj podsieć i określ wewnętrzną podsieć sieci zdalnej, do której chcesz uzyskiwać dostęp.
- Kliknij przycisk Zapisz.
Jeśli uda się nawiązać połączenie trasowane VPN, w polu Status będzie wyświetlany status Połączono.
Dodatkowe informacje
Ustawienia połączenia VPN typu lokacja-lokacja na urządzeniach Meraki®
