Citrix SD-WAN

如何在 SD-WAN 与第三方设备之间配置 IPsec 通道

要为 Intranet 或 LAN 服务配置 IPsec 隧道,请执行以下操作:

  1. 配置编辑器中,导航到 连接> 查看站点> [站点名称]> IPsec 隧道。选择服务类型(LAN 或 Intranet)。

  2. 输入服务类型的 名称。对于 Intranet 服务类型,配置的 Intranet 服务器将确定哪些本地 IP 地址可用。

  3. 选择可用的 本地 IP 地 址,然后输入要与之对 等的虚拟路径的对等 IP 地址。

    本地化后的图片

    本地化后的图片

    本地化后的图片

    注意

    如果服务类型是 Intranet,则 IP 地址由所选 Intranet 服务预先确定。

    本地化后的图片

  4. 通过应用下表中描述的条件来配置 IPsec 设置。完成后,单击 应用 以保存您的设置。

领域 说明
服务类型 从下拉菜单中选择服务类型 内联网、局域网
名称 如果服务类型为 Intranet,请从下拉菜单中的已配置 Intranet 服务列表中进行选择。如果服务类型为 LAN,请输入唯一名称 文本字符串
本地知识产权 从此站点配置的可用虚拟 IP 地址下拉菜单中选择 IPsec 隧道的本地 IP 地址 IP 地址
对等 IP 输入 IPsec 隧道的对等 IP 地址 IP 地址
MTU 输入用于对 IKE 和 IPsec 片段进行碎片的 MTU 默认值:1500
IKE 设置 版本:从下拉菜单中选择 IKE 版本 IKEv1 IKEv2
模式 从下拉菜单中选择模式 符合 FIPS 标准:主要、不符合 FIPS 标准:侵略性
身份 从下拉菜单中选择身份 自动 IP 地址手动 IP 地址用户 FQDN
身份验证 从下拉菜单中选择身份验证类型 预共享密钥:如果您使用的是预共享密钥,请将其复制并粘贴到此字段中。单击眼球 () 图标查看预共享密钥。证书:如果您使用的是身份证书,请从下拉菜单中选择。
验证对等身份 选中此复选框可验证 IKE 的对等方。如果不支持对等方的 ID 类型,请不要启用此功能
DH Group 从下拉菜单中选择要用于 IKE 密钥生成的 Diffie–Hellman 组 不符合 FIPS 标准:组 1、FIPS 合规:组 2 组 5 组 14 组 15 组 16 组 19 组 20 组 21
哈希算法 从下拉菜单中选择验证 IKE 消息的算法 不符合 FIPS 要求:符合 MD5 FIPS 要求:SHA1 SHA-256
加密模式 从下拉菜单中选择 IKE 邮件的加密模式 AES 128 位 AES 192 位 AES 256 位
生命周期(秒) 输入 IKE 安全关联存在的首选持续时间(以秒为单位) 3600 秒(默认值)
最大使用寿命 输入允许 IKE 安全关联存在的最大首选持续时间(以秒为单位) 86400 秒(默认值)
DPD 超时 输入 VPN 连接的死对等检测超时(以秒为单位) 300 秒(默认值)
IKEv2 对等身份验证:从下拉菜单中选择对等身份验证 镜像预共享密钥证书
IKE2-预共享密钥 对等预共享密钥:将 IKEv2 对等预共享密钥粘贴到此字段中以进行身份验证。单击眼球 () 图标以查看预共享密钥 文本字符串
完整性算法 从下拉菜单中选择一种算法作为哈希算法,用于 HMAC 验证 不符合 FIPS 要求:符合 MD5 FIPS 要求:SHA1 SHA-256

注意:

如果终止的 IPsec 路由器在配置中包含基于哈希的消息身份验证代码 (HMAC),请将 IPsec 模式更改为 EXP+ 身份 验证,并使用哈希算法作为 SHA1

本地化后的图片

本地化后的图片

IPsec 和 IPsec 受保护的网络设置:

领域 说明
隧道类型 从下拉菜单中选择隧道类型 ESP 环境保证 + 环境保证 + 环境保证 + 空 AH
PFS 集团 从下拉菜单中选择 Diffie-Hellman 组以便用于完美的前向保密密钥生成 无 组 1 组 2 组 5 组 14 组 15 组 16 组 19 组 20 组 21
加密模式 从下拉菜单中选择 IPsec 邮件的加密模式 如果您选择 ESP 或 ESP+ 身份验证,请选择以下任一选项:AES 128 位、AES 192 位、AES 256 位、AES 128 位、GCM 64 位、AES 192 位、GCM 64 位、AES 256 位、GCM 64 位、AES 128 位、GCM 96 位、AES 192 位、GCM 96 位、AES 256 位、GCM 96 位、AES 128 位、GCM 128 位、AES 192 位、GCM 128 位、AES 256 位、GCM 128 位
生命周期 输入允许 IPsec 安全关联存在的时间量(以秒为单位) 28800 秒(默认值)
最大寿命 输入允许 IPsec 安全关联存在的最长时间(以秒为单位) 86400 秒(默认值)
生命周期 (KB) 输入 IPsec 安全关联存在的数据量(以千字节为单位) 千字节
生命周期 (KB) 最大 输入允许 IPsec 安全关联存在的最大数据量(以千字节为单位) 千字节
网络不匹配行为 如果数据包与 IPsec 隧道的受保护网络不匹配,请从下拉菜单中选择要执行的操作 删除,发送未加密,使用非 IPsec 路由
IPsec 保护网络 源 IP/前缀:单击添加(+ 添加)按钮后,输入 IPsec 隧道将保护的网络流量的源 IP 和前缀 IP 地址
IPsec 保护网络 目标 IP/前缀:输入 IPsec 隧道将保护的网络流量的目标 IP 和前缀 IP 地址

本地化后的图片

监视 IPsec 隧道

导航到 SD-WAN 设备 GUI 中的 监视 > IKE/IPsec ,以查看和监视 IPsec 隧道配置。

如何在 SD-WAN 与第三方设备之间配置 IPsec 通道