如何在 QuWAN 與 Cisco® Meraki® 裝置之間設定站對站 VPN？

最後修訂日期: 2025-02-18

適用產品

本指南詳述了在 QuWAN 裝置與 Meraki® MX64 安全設備之間建立站對站 VPN 連線的步驟。雖然 Cisco® 生態系統提供具有站對站 VPN 功能的各種裝置，但本教學將特別著重於 Meraki® MX64 的示範。

重要事項

QuWAN 站對站 VPN 僅支援 IKEv2。
兩台裝置 (QuWAN 與 Cisco® 裝置) 必須使用相同配置設定才能讓 VPN 正常運作。
您必須在配置站對站 VPN 之前，將 QNAP 裝置新增至 QuWAN Orchestrator。請參閱 QuWAN 與 QuWAN Orchestrator 說明來新增裝置：設置｜QuWAN 與 QuWAN Orchestrator 說明 (qnap.com)

警告

執行站對站 VPN 會增加網路複雜度。在啟用之前，請確認其對安全性所產生的影響。

登入 Meraki® MX64 的配置介面。
瀏覽至［Security & SD-WAN (安全性與 SD-WAN)］>［Configure (設定)］>［Site-to-site VPN (站對站 VPN)］頁面。
按一下［Non-Meraki VPN peers (非 Meraki VPN Peer)］下方的［Add a peer (新增 Peer)］，並輸入下列資訊：
- 輸入描述性名稱 (例如，QuWAN 站對站 VPN)
- 選擇［IKEv2］作為 IKE 版本。

按一下［IPsec policies (IPsec 原則)］下方的［Default (預設)］並配置下列內容：

輸入下列有關遠端閘道的資訊：
- 遠端 QuWAN 裝置的公開 IP 位址或主機名稱。
- 指定遠端站台的內部子網路。
- 輸入高強度的預先共用金鑰，並在遠端閘道設置相同的金鑰。
按一下［儲存］。
MX64 隨即套用此設置。

配置路由型 VPN 連線設定。

配置進階路由型 VPN 連線設定。

設定	使用者動作	範例值
網際網路金鑰交換 (IKE)
版本	選擇［IKEv2］。	-
驗證演算法	選擇強大驗證演算法。	AES-128
加密	選擇高強度加密方式。	AES-128
DH 群組	選擇安全的 DH 群組。	14
安全關聯 (SA) 壽命	定義 IKE 安全關聯 (SA) 持續時間，來降低與金鑰暴露相關的加密風險。	480
本機 ID (選擇性步驟)	如果路由型 VPN 連線採用動態 DNS (DDNS) 服務，必須提供本機 ID。	-
封裝安全負載 (ESP)
驗證演算法	選擇驗證演算法。	SHA-256
加密	選擇加密方式。	AES-128
啟用完全前向保密 (PFS)	選取方塊可產生新的 DH 金鑰。	-
DH 群組	指定安全的 DH 群組。	14
安全關聯 (SA) 壽命	定義 SA 壽命期間。	60 分鐘
啟用失效對等方偵測 (DPD)	選取方塊可識別並回應對等裝置中斷。	-
DPD 逾時	指定 DPD 逾時值。	10 秒