如何在 QuWAN 和 Cisco® Meraki® 设备之间设置站点到站点 VPN？

最后修订日期: 2025-02-18

适用产品

本指南详细介绍了在 QuWAN 设备和 Meraki® MX64 安全设备之间建立站点到站点 VPN 连接的步骤。Cisco® 生态系统为各种设备提供站点到站点 VPN 功能，本教程将只以 Meraki® MX64 为例进行介绍。

重要

QuWAN 站点到站点 VPN 仅支持 IKEv2。
两种设备（QuWAN 和 Cisco® 设备）都必须使用相同的配置设置，VPN 才能正常运行。
在配置站点到站点 VPN 之前，必须先将 QNAP 设备添加到 QuWAN Orchestrator。有关添加设备的信息，请参见《QuWAN 和 QuWAN Orchestrator 帮助》：配置 | QuWAN 和 QuWAN Orchestrator 帮助 (qnap.com)

警告

实施站点到站点 VPN 会使您的网络更复杂。在启用之前，请确保您了解对安全的影响。

登录到 Meraki® MX64 的配置界面。
导航到安全性与 SD-WAN > 配置 > 站点到站点 VPN 页面。
在非 Meraki VPN 对等下，单击添加对等，并输入以下信息：
- 输入描述性名称（例如 QuWAN 站点到站点 VPN）
- 选择 IKEv2 作为 IKE 版本。

在 IPsec 策略下，单击默认，然后配置以下设置：

设置	用户操作	示例值
第 1 阶段
Encryption（加密）	选择一种加密方法。	AES-128
Authentication（身份验证）	选择哈希函数。	SHA-256
Pseudo-random Function (PRF)（伪随机函数(PRF)）	选择哈希 PRF。	SHA-256
Diffie-Hellman group（Diffie-Hellman 组）	指定 DH 组。	14
Lifetime（使用寿命）	指定连接使用寿命（秒）。	28800
第 2 阶段
Encryption（加密）	选择加密方法。	AES-128
Authentication（身份验证）	选择哈希函数	SHA-256
PFS group（PFS 组）	指定 PFS 组。	14
Lifetime (seconds)（使用寿命(秒)）	指定数据传输使用寿命（秒）。	3600

输入远程网关的以下信息：
- 远程 QuWAN 设备的公共 IP 地址或主机名。
- 指定远程站点的内部子网。
- 输入强预共享密钥，并在远程网关上配置相同密钥。
单击保存。
MX64 即会应用此配置。

配置基于路由的 VPN 连接设置。

设置	描述
连接名称	指定描述性名称（例如 Meraki 站点到站点 VPN）。
IPSec 模式	选择隧道模式。
中心	为连接指定合适的中心。
WAN 接口	输入所需的 WAN 接口。
远程 IP 或主机名	指定远程网关设备的公共 IP 地址或主机名。
测试连接（可选）	单击此按钮以向 IP/主机名执行 ping 操作，确认是否已连接。
预共享密钥	建立一个强预共享密钥，确保远程网关上使用相同配置。

配置基于路由的高级 VPN 连接设置。

设置	用户操作	示例值
Internet 密钥交换协议 (IKE)
版本	选择 IKEv2。	-
身份验证算法	选择一种可靠的身份验证算法。	AES-128
加密	选择一种强加密方法。	AES-128
DH 组	选择安全的 DH 组。	14
安全关联 (SA) 使用寿命	定义 IKE 安全关联 (SA) 持续时间以减少与密钥暴露相关的加密风险。	480
本地 ID（可选）	如果要使用动态 DNS (DDNS) 服务建立基于路由的 VPN 连接，则必须提供本地 ID。	-
封装安全有效载荷(ESP)
身份验证算法	选择一种身份验证算法。	SHA-256
加密	选择一种加密方法。	AES-128
启用完全前向保密(PFS)	选中此复选框可生成新 DH 密钥。	-
DH 组	指定安全 DH 组。	14
安全关联 (SA) 使用寿命	定义 SA 使用寿命持续时间。	60 分钟
启用失效对端检测(DPD)	选中此复选框可确定对等设备中断并对其作出响应。	-
DPD 超时	指定 DPD 超时值。	10 秒

如果基于路由的 VPN 连接成功，则“Status”（状态）字段将显示“Connected”（已连接）状态。

这篇文章有帮助吗？

是否

请告诉我们如何改进这篇文章：

如果您想提供其他意见，请于下方输入。