Admin
2017-02-24 10:44:30
在与AR2200对接前,建议您了解对接的基础背景信息,有助于您执行后续的对接配置。
HUAWEI AR路由器产品简介
AR路由器是华为技术有限公司推出的集路由、交换、无线、语音、安全等功能于一体的新一代业务路由网关设备。AR一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口,能将多种业务部署在同一设备上,极大地降低了企业网络建设的初期投资与长期运维成本。用户可以根据企业用户规模选择不同规格的AR路由器作为出口网关设备。
IPSec差异对比
本文档以HUAWEI USG6300 V100R001C30、HUAWEI AR2220 V200R007C00为例,介绍两台设备之间如何建立IPSec隧道。由于同为HUAWEI公司产品,因此在场景支持性上个产品基本无差异。
两者IPSec功能支持情况如下表所示。
IPSec功能 | USG6300 | AR2220 |
基于策略方式的IPSec对接 | √ | √ |
基于模板方式的IPSec对接 | √ | √ |
基于Tunnel接口方式的IPSec对接 | √ | √ |
NAT穿越场景下的IPSec对接 | √ | √ |
以GRE over IPSec方式的IPSec对接 | √ | √ |
Efficient VPN | × | √ |
下图列出了USG6300和AR2200设备IPSec业务配置的主流程,参考该图可以从整体上掌握IPSec业务的配置顺序,有助于理解IPSec业务的配置思路。
USG和AR同属HUAWEI公司产品,其IPSec的实现原理差异不大,因此配置流程相同,所不同的是一些提议、算法,下面给出IPSec的缺省配置和默认值。
IPSec默认值
配置项 | USG6300 | AR2200 |
IKE安全提议 | l 加密算法:AES-128 l 认证算法:SHA2-256 l 完整性算法:HMAC-SHA2-256 l dh:group2 l 认证方法:pre-share | l 加密算法:AES-CBC-256 l 认证算法:SHA-256 l dh:group2 l 认证方法:pre-share |
IPSec安全提议 | l 安全协议:ESP l 认证算法:SHA2-256 l 加密算法:AES-128 l 报文封装方式:隧道模式 | l 安全协议:ESP l 认证算法:SHA-256 l 加密算法:AES-256 l 报文封装方式:隧道模式 |
IKE版本 | 如果同时开启IKEv1协议和IKEv2协议,设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。 | 需要在创建IKE对等体的时候指定IKE版本。 |
021-62279227
发送邮件
