所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
SD-WAN V100R018C00 配置指南
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置云安全策略

配置云安全策略

背景信息

为了提升访问Internet网络的安全性,可部署CPE与Zscaler、ForcePoint等第三方安全云网关对接,通过流分类模板指定业务通过第三方安全云网关访问Internet。

目前,支持通过GRE隧道与第三方安全云网关对接。单网关单ISP建议配置一主一备两条GRE隧道,双网关双ISP配置一主一备两对共四条GRE隧道。

前提条件

  1. 已经添加站点。具体操作请参见离线创建站点(Underlay网络)
  2. 站点已经激活。具体操作请参见离线配置站点接入网络的方式(Underlay网络)离线配置站点时钟同步(Underlay网络)

数据准备

表6-100 云安全策略信息

参数

数据

策略名称

test_cloud_policy1

流分类模板

test_Template1

设备名称(ESN)

Hub1_2

WAN链路

Internet

主隧道

GRE隧道源IP

10.1.1.21/24

GRE隧道目的IP

10.1.1.22/24

云网关IP

10.1.1.1

备隧道

GRE隧道源IP

10.1.2.21/24

GRE隧道目的IP

10.1.2.22/24

云网关IP

10.1.2.1

报文分片

MTU

1500

MSS

1200

操作步骤

  1. 在主菜单中依次选择配置 > 流量策略
  2. “Underlay”网络界面中,单击“云安全”
  3. 在站点区域,选择待配置云安全策略的站点。
  4. 单击“新建”,创建策略。
  5. 填写云安全策略的信息,主要包括隧道信息、报文分片。

  6. 单击“确定”,完成配置。
表6-101 云安全策略

参数名称

说明

策略名称

云安全的策略名称。通过GRE隧道与云访问安全代理对接,实现访问网络应用的安全性。

流分类模板

选择流分类模板,匹配流分类模板的报文经过GRE隧道转发。云安全策略场景下不支持使用L7类型的流分类模板,流分类模板的目的IP地址一般设置为云访问安全代理的IP地址。

隧道信息

设备ESN

与云访问安全代理对接的CPE设备。

WAN链路

CPE设备的WAN链路。一条WAN链路可对应一主一备两条GRE隧道。当主GRE隧道故障,流量启动切换至备GRE隧道。

主隧道

GRE隧道源IP

主隧道的接口IP地址。

GRE隧道目的IP

主隧道的目的端地址。

云网关IP

云访问安全代理的IP地址。

GRE Key

主隧道的识别关键字。为了增强GRE隧道的安全性,可以对GRE隧道两端设置GRE隧道的识别关键字,通过这种安全机制防止错误识别、接收其它地方来的报文。该值需与云访问安全代理的GRE Key保持一致。

GRE校验和

是否使能对主GRE隧道两端的校验功能。为了增强GRE隧道的安全性,可以对GRE隧道两端进行端到端校验,通过这种安全机制防止错误识别、接收其它地方来的报文。

备隧道

GRE隧道源IP

备隧道的接口IP地址。

GRE隧道目的IP

备隧道的目的端地址。

云网关IP

云访问安全代理的IP地址。

GRE Key

备隧道的识别关键字。

GRE校验和

是否使能对备GRE隧道两端的校验功能。

报文分片

MTU

隧道接口的MTU。对主备隧道同时生效。

MSS

隧道接口的TCP最大报文段长度。对主备隧道同时生效。

Keepalive

周期(秒)

GRE隧道发送Keepalive报文的定时器周期。默认5秒。每发送一个,不可达计数器加一。如果此计数器的值到达“重试次数”还没收到返回报文,就认为对端不可达。对主备隧道同时生效。

重试次数

隧道对端不可达的重试次数。默认3次。对主备隧道同时生效。

翻译
下载文档
更新时间:2019-03-04

文档编号:EDOC1100019695

浏览量:24962

下载量:416

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页