HUAWEI篇 NGFW與AR2200對(duì)接基礎(chǔ)信息介紹
在與AR2200對(duì)接前��,建議您了解對(duì)接的基礎(chǔ)背景信息��,有助于您執(zhí)行后續(xù)的對(duì)接配置�。
HUAWEI AR路由器產(chǎn)品簡(jiǎn)介
AR路由器是華為技術(shù)有限公司推出的集路由��、交換���、無(wú)線�����、語(yǔ)音��、安全等功能于一體的新一代業(yè)務(wù)路由網(wǎng)關(guān)設(shè)備�。AR一般位于企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接處,是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間數(shù)據(jù)流的唯一出入口�����,能將多種業(yè)務(wù)部署在同一設(shè)備上�,極大地降低了企業(yè)網(wǎng)絡(luò)建設(shè)的初期投資與長(zhǎng)期運(yùn)維成本。用戶可以根據(jù)企業(yè)用戶規(guī)模選擇不同規(guī)格的AR路由器作為出口網(wǎng)關(guān)設(shè)備���。
IPSec差異對(duì)比
本文檔以HUAWEI USG6300 V100R001C30��、HUAWEI AR2220 V200R007C00為例�����,介紹兩臺(tái)設(shè)備之間如何建立IPSec隧道��。由于同為HUAWEI公司產(chǎn)品,因此在場(chǎng)景支持性上個(gè)產(chǎn)品基本無(wú)差異。
兩者IPSec功能支持情況如下表所示�。
IPSec功能 | USG6300 | AR2220 |
基于策略方式的IPSec對(duì)接 | √ | √ |
基于模板方式的IPSec對(duì)接 | √ | √ |
基于Tunnel接口方式的IPSec對(duì)接 | √ | √ |
NAT穿越場(chǎng)景下的IPSec對(duì)接 | √ | √ |
以GRE over IPSec方式的IPSec對(duì)接 | √ | √ |
Efficient VPN | × | √ |
下圖列出了USG6300和AR2200設(shè)備IPSec業(yè)務(wù)配置的主流程,參考該圖可以從整體上掌握IPSec業(yè)務(wù)的配置順序��,有助于理解IPSec業(yè)務(wù)的配置思路�。
USG和AR同屬HUAWEI公司產(chǎn)品,其IPSec的實(shí)現(xiàn)原理差異不大���,因此配置流程相同���,所不同的是一些提議、算法�����,下面給出IPSec的缺省配置和默認(rèn)值����。
IPSec默認(rèn)值
配置項(xiàng) | USG6300 | AR2200 |
IKE安全提議 | l 加密算法:AES-128 l 認(rèn)證算法:SHA2-256 l 完整性算法:HMAC-SHA2-256 l dh:group2 l 認(rèn)證方法:pre-share | l 加密算法:AES-CBC-256 l 認(rèn)證算法:SHA-256 l dh:group2 l 認(rèn)證方法:pre-share |
IPSec安全提議 | l 安全協(xié)議:ESP l 認(rèn)證算法:SHA2-256 l 加密算法:AES-128 l 報(bào)文封裝方式:隧道模式 | l 安全協(xié)議:ESP l 認(rèn)證算法:SHA-256 l 加密算法:AES-256 l 報(bào)文封裝方式:隧道模式 |
IKE版本 | 如果同時(shí)開啟IKEv1協(xié)議和IKEv2協(xié)議,設(shè)備發(fā)起協(xié)商時(shí)會(huì)使用IKEv2協(xié)議�����,響應(yīng)協(xié)商時(shí)則同時(shí)支持IKEv1協(xié)議和IKEv2協(xié)議����。 | 需要在創(chuàng)建IKE對(duì)等體的時(shí)候指定IKE版本���。 |
Admin
2017-02-24 10:44:30
021-62279227
發(fā)送郵件
