随着企业信息化的发展，依赖互联网、云服务等协作办公的需求越来越多，组建一个高效适用的企业网络，对于提高企业办公效率，促进企业发展显得至关重要。企业组网的方式主要有： MPLS专线、VPN以及SD-WAN等，至于哪一种才是好的解决方案，网宿君认为没有绝对好的解决方案，选择适合自身企业的解决方案才是关键。下文就不同组网方式进行简要介绍，供参考以便选择。方式一 MPLS专线MPLS专线拓扑图（来源于网络）MPLS专线是运营商提供的一种基于MPLS技术的广域网服务专用线路，该线路为企业的专用通道，以用于企业或行业集团用户各分支机构互联，组建内部信息传送网络，已在企业组网的市场上驰骋二十几年。其突出的优点主要有：1. 可靠性：构建在运营商的网络上，具有足够且灵活的带宽和传输可靠性；2. 安全性：采用了路由隔离、地址隔离和隐藏MPLS内部网络信息等，可提供端到端的安全保证。但因价格高昂、部署周期长、运维复杂、难以规模化应用于云计算及SaaS等原因，在现代企业多样性的场景需求面前已捉襟见肘。对于安全性要求极高、预算充分的政府单位、大型企业，或者是企业的关键任务运行上，MPLS专线依然是良好的选择。方式二 VPN组网VPN组网拓扑图（来源于网络）VPN组网是通过公用网络建立的私有数据传输通道，将企业的总部、分支机构、上下游合作伙伴、移动办公人员等连接起来的一项技术。这种组网方式的显著优势是：1. 较低的成本投入：VPN利用的是公共网络而建立的虚拟专网，企业无需花费高额的硬件设备、线路租赁、维护等费用；2. 部署时间较快：VPN一般是由防火墙或者VPN网关等硬件设备来实现的，路由设备到位后，进行网络配置即可完成；3. 可实现远程访问：无论是在外地出差还是在家中办公的用户，通过互联网连接VPN，即可访问企业的内网资源，为远程办公、移动办公提供了技术基础。随着企业应用场景的变化，尤其是2020年疫情的原因，远程办公的场景爆发式增长，VPN业务体验不好、安全有隐患（网关暴露在公网，容易被黑客扫描到并发起攻击，一旦被黑客侵入，内网数据资源则都有被盗取的风险）等弊端也逐渐凸显出来，但针对于预算不足、安全性要求不高的小型企业，不失为一套适用的解决方案。方式三 SD-WANSD-WAN 即软件定义广域网，其网络架构还是基于公共网络或者专线，但增加了SD-WAN控制器，这也是SD-WAN的管理核心。通过集中控制器，将广阔地理范围的企业网络、数据中心、互联网应用及云服务等集中起来，进行统一管理。随着企业上云、远程办公、数字化管理等场景应用越来越多，MPLS专线和VPN的组网方式已无法满足此类场景的需求，甚至成了企业数字化转型的瓶颈。主要表现在：1. MPLS专线成本投入大：一方面专线单价高，对于大带宽需求的客户如共有云与IDC打通、多分支或项目部访问总部等，投入巨大；另一方面，专线的网络结构复杂，需要专业的IT运维人员负责，也得耗费较大的人力的成本；2. VPN访问体验差：尤其是采用开源的VPN软件，基于互联网平台部署而成的点对点专线网络，不可避免会受网络高峰期的影响，常常伴有网络波动、网络丢包等问题。软件稳定性也有潜在风险，容易导致VPN通道中断，影响正常办公；3. 部署周期长：MPLS专线因为运营商都是本地化行政办公，导致跨区域、跨境的工单审批时间长，审批完后再进行部署，往往需要两个月甚至更长时间。而VPN一般是由防火墙或者VPN网关等硬件设备来实现的，必须采购硬件设备，在大型企业中，硬件设备的采购往往是需要经历长时间的招投标流程。即使是中小企业无需招标，采购新设备到安装上架，也将耗费一周的时间；4. VPN和专线的运维复杂：出现问题时不仅需要专业的IT人员，而且MPLS专线对于企业无监控机制，很难找出问题点，VPN也仅能监控自身的设备性能，无法监控网络问题，这在不同程度上都增加了运维的难度。而SD-WAN具备灵活组网、快速部署、高性价比等诸多优势，现已成为了企业组网的首选解决方案！据Gartner报告称，到2023年，将会有90%的企业采用SD-WAN来实现企业组网。使用这样的组网形式，可以给企业带来：第一， 降本增效：SD-WAN的组网形式，在功能的实现上比专线更加丰富，而成本投入较专线相比可节省50%以上，尤其是SD-WAN可与公有云互通、进行移动端部署等，更适合企业上云、移动办公、SaaS应用等场景的应用；第二， 提升访问体验：SD-WAN可以根据网络情况，实现链路无感知切换，保证访问质量。还可根据管理员的配置策略，实现流量的负载均衡，保证关键应用（如视频会议、OA系统等）或关键用户的链路质量和访问速率；第三， 部署简单，快速接入：SD-WAN支持硬件、软件、客户端等多种部署方式，可实现“零接触部署”，最快15分钟即可完成，且分支机构无需专业IT人员也能完成组网部署；第四， 运维方便快捷：可视化的运维管控平台，管理员可对全网进行统一管理，能及时确认网络情况，快速定位网络问题，大大提升了运维效率。

企业版总共支持的监控指标一共11项，但是默认只有5项，其他的需要手动添加或配置1、默认监控项企业版默认只有5个监控指标：VPN连接状态、发送/接收速率、发送包/接收包速率2、健康检查指标项 - 链路点击VPN连接名称，进入连接详情页面，在此处可以配置健康检查，开启了健康检查之后，会增加3个监控项：链路往返平均时延、链路往返最大时延、链路丢包率探测方式：本端网关ip去ping对端网关ip，因此需要对端网关不禁ping3、使能NQA的监控项（限静态路由模式）- 隧道静态路由模式下，使能了NQA之后，会增加3个监控项：隧道丢包率、隧道往返平均时延、隧道往返最大时延注意：需要配置好本对端隧道接口地址，且保证对端隧道接口地址能ping通，才会有数据打通

报错 807 该检查的都检查了，不知是何原因，如何解决。

由于经典版vpn的带宽规格较小，不支持动态IP、对接ER等特性，需要将业务切到企业版vpn使用，验证割接方案如下：一、准备环境1）  创建华为云VPN网关如果有公网攻击，建议找安全服务申请保障EIP，申请成功后，在创建VPN网关时选择已有EIP。2）  创建对端网关3）  创建华为云VPN连接注意：对端子网填写测试子网（与经典版vpn实际对端子网不同即可，防止路由冲突）4）  验证（连接成功）二、割接动作1）修改经典VPN网关对端子网为无用子网(如：88.88.88.0/24)2）修改专业版VPN远端子网为业务真实子网，即修改之前经典版的对端子网3）验证是否正常，测试ping和scp传输文件，如果出现异常，可以回退割接动作的步骤。

由于企业版VPN在实现上有做NAT-T，因此在与其他设备对接时，建议对端设备打开NAT-T。例如，由于深信服ikev2的版本不支持NAT-T，因此在与深信服设备对接时，建议使用ikev1 的野蛮模式，打开NAT-T常见设备NAT-T开关1、阿里云2、腾讯云界面上没有配置选项，默认支持3、AWS  亚马逊云AWS配置中无NAT相关参数，默认支持。官方文档描述如下： https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/create-tgw-vpn-attachment.html ​ https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/cgw-options.html4、Azure 微软云AWS配置中无NAT相关参数，默认支持。5、山石防火墙支持配置

1StrongSwan安装将strongswan-5.7.1.rpm上传到服务器，并执行命令：rpm –ivh strongswan-5.7.1 –-force –-nodeps安装成功后执行命令strongswan version看strongswan版本：2华为VPN双活网关策略模式对接StrongSwan组网2.1华为侧VPC及网关创建（单连接）⑴在华为云创建两个VPC，分别设置vpc网段，如下图：(2)在vpc中创建ecs一台，并绑定弹性eip1.1.1.1，带宽根据测试需求自定，本次申请300Mb带宽，(3)在另一个vpc中创建vpn网关，选择策略模式，绑定主eip2.2.2.2,备eip随意。(4)创建一个对端网关，路由模式为静态路由，公网ip选择1.1.1.12.2华为侧VPN连接创建创建vpn连接，本端网关选择步骤(3)中创建的网关，对端网关选择步骤(4)中的网关，分别填写本端子网192.168.0.0/16和对端子网172.16.0.0/16。策略协议如下所示：2.3StrongSwan IPsecVPN配置2.3.1编辑strongswan配置文件，指令为：vi /etc/strongswan/ipsec.conf在配置文件尾部增加配置：参数说明leftid本端标识rightid对端标识left本机IP（私网地址）right对端IP（华为侧EIP）leftsubnet本端子网rightsubnet对端子网auto连接方式。可选“add”,“route”,“start”.“route”表示由连接触发，“add”表示手动，“start”表示自启。left|rightauth指定left,right认证方式，可选“pubkey”“psk”“eap”“xauth”ikeIKE算法，分3个部分组成，用“-”连接，第一部分加密算法3des,aes128,aes192,aes256,第二部分认证算法：md5,sha1,sha256,第三部分DH算法：modp1024,modp1536espesp算法，分3个部分组成，用“-”连接，第一部分加密算法：3des,aes128,ase192,aes256,第二部分认证算法：md5,sha1,sha256,第三部分DH算法：modp1024,modp1536keyexchangeIKE模式，可选“ikev1”“ikev2”ikelifetimeIPSec SA协商间隔lifetimeISAKMP SA协商间隔2.3.2修改ipsec.secrets文件，在文件尾部增加共享密钥：vi /etc/strongswan/ipsec.secrets格式为：本端IP+空格+对端IP+空格+：+空格+PSK+空格+“密钥”若格式不对，启动strongswan后会报错：no shared key between ***found.2.3.3设置允许IP转发。vi /etc/sysctl.conf在文件尾增加以下内容：net.ipv4.ip_forward = 1保存后执行命令/sbin/sysctl –p使配置生效2.4连接状态检查(1)执行命令启动strongswan：service strongswan startstrongswan start执行命令查看IPsec隧道是否成功创建：service strongswan statusstrongswan statusall如图所示：security association(1 up,0 connecting)表示有一个ipsec隧道成功打通，华为云界面连接状态也变为正常。2.5连通性测试流量测试：在华为云网关对应vpc上创建另一个ecs,私有地址为192.168.0.76此时，在strongswan侧直接ping该私有地址（测试地址略有变化）：

一、连接模式：当前VPN连接有4种连接模式：策略模式、静态路由模式、BGP路由模式和策略模板模式策略模板模式仅在VPN网关是非固定IP网关，且选择的对端网关为FQDN类型时可见二、区别和使用场景：1、静态路由模式：使用全0网段与线下设备协商，根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。一般推荐使用该模式配置VPN。2、策略模式：根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。注意：VPN最多只能配置5个源网段，且源网段和目的网段数量的乘积不能超过100，如果需要联通的子网较多，建议合并子网或者使用路由模式。3、BGP路由模式：根据BGP动态路由确定哪些数据进入IPsec VPN隧道，适用于互通子网数量多或变化频繁、与专线互备等组网场景。因为需要搭建BGP，需要在创建网关时提前规划asn，同时在线下设备配置好隧道接口地址。4、策略模板模式：用于线下公网IP非固定的场景，对端网关类型为FQDN，如需修改策略模板模式的加密策略，可在网关界面修改。

cid:link_0

1 注意事项1.1 注意AWS侧的子网配置AWS侧的本地IPv4网络CIDR需要填下华为侧子网，远程IPv4网络CIDR才是填写的AWS侧子网；这个配置很容易配反。配反了之后现象是：连接协商失败。1.2 注意AWS上的静态ip前缀配置亚马逊AWS默认将网段中较小的IP地址留给自己，故需要根据此处的IP地址反向设置华为云VPN连接的接口地址，且两边的配置需要互为镜像。2 创建vpc和网关2.1 华为云创建VPC在华为云北京四区上创建一个VPC，设置vpc网段，如下图：2.2华为云创建ECS在该vpc上创建ecs一台，ecs私有地址：192.168.0.198.2.3华为云创建专业版VPN网关在vpc中创建vpn网关，绑定主备EIP2.4查看VPC路由，到AWSVPC路由正确（自动生成）3AWS云前置公共配置3.1AWS创建VPC和子网AWS云控制台，新建VPC，注意生成的2个子网，一个public一个private，是有区别的。3.2AWS创建EC2创建用于测试联通性的ec2。注意1、aws的ec2如果要通过弹性ipssh登录，必须对应的网卡加入到public的子网。用于测试vpn连通性的网卡加入private的子网中。2、关闭ec2的源/目的检查3、注意ec2安全组的修改放通ICMP和SSH。4、ec2镜像选择，选择AmazonLinux 2AMI（HVM）- Kernel 5.10，SSDvolumeType3.3AWS云侧检查和配置路由检查VPC路由，进入EC2连接private子网的路由，为华为侧VPC添加到AWSVPN网关的路由。（如果是在主VPC路由表中配置的路由，则要在主路由表中关联子网）3.4创建AWS虚拟私有网关输入虚拟私有网关名字和ASN，创建后，需要将虚拟私有网关附加到VPC3.5AWS创建客户网关根据华为VPN的ASN，根据这主备EIP分别创建2个客户网关4VPN双活网关与AWS静态路由模对接4.1组网4.2AWS创建站点到站点静态路由的VPN连接输入VPN连接的名称后，虚拟私有网关客户网关都选择现有，第一个连接，选择前面创建的华为VPN主EIP的客户网关，第二个连接创建选择前面创建的华为VPN备EIP的客户网关。测试静态路由连接参数对接，只创建连接1即可。路由选项：静态静态IP前缀：华为VPN的业务VPC网段本地 IPv4网络 CIDR：华为VPN的业务VPC网段，默认0.0.0.0/0远程 IPv4网络 CIDR：AWSVPN的业务VPC网段，默认0.0.0.0/0隧道选项-内部CIDR：由于亚马逊云与华为云分配方式的不通。由Amazon生成即可，华为云测创建连接后，需要反过来修改这个CIDR的网段参数。或者按照华为云的分配方式先进行配置。保证相同的链接CIDR两端一致。隧道选项-预共享密钥：根据需要配置，和华为侧要配置的保持一致，注意AWS的共享密钥和华为云的共享密钥支持的字符有区别隧道协商选项：需要与华为侧保持一致，可以创建时指定，也可以先保持默认创建后修改。4.3华为云创建客户网关华为云客户网关需要创建4个，分别对应AWSVPN2个连接的4个Tunnel公网IP地址4.4华为云创建VPN连接华为云需要针对4个客户网关创建4个VPN连接，策略配置可以默认。本次测试基本互通，其实创建连接1和连接3即可。后续测试注意操作连接1和连接3。4.5连接状态检查4.5.1检查华为云VPN连接状态4.5.2检查AWSVPN 2个连接的4个Tunnel状态查看AWS上Tunnel的策略配置如下，算法、IKE、DH的类型是同时支持的。4.6检查华为云侧ECS和AWS云侧EC2的VPC连通性从AWS云侧EC2 ping华为云侧ECS从华为云侧ECS pingAWS云侧EC2

零、注意事项1、流量生命周期腾讯云二阶段基于流量的生命周期默认为1.8G（1843200KB），如果业务流量较大，需要适当调大流量的生命周期，避免由于频繁的流量老化导致丢包。2、连接模式腾讯云-目的路由模式对应华为云-静态路由模式腾讯云-SPD策略模式对应华为云-策略模式腾讯云VPN不支持BGP路由模式连接3、双连接场景双连接场景对接VPC时只支持人字形组网（华为云两个网关对接腾讯云一个网关），不支持口字型组网，因为腾讯云VPC不支持相同的路由前缀路由配置。双连接场景需要使用路由模式，且腾讯云健康检查必须配置，否则腾讯云连接故障后流量无法切换。一、策略模式对接1.1、组网1.2、华为侧配置创建本端网关：创建对端网关：选择腾讯侧创建的公网ip创建连接，选择策略模式，配置对端子网和策略规则策略配置1.3、腾讯侧配置1.3.1 创建VPC，设置VPC网段1.3.2 创建VPN网关进入vpn网关界面，创建vpn网关，选择带宽上限，关联网络：私有网络，选择刚建好的vpc，计费方式为按流量计费，得到新的vpn网关.1.3.3 创建对端网关进入腾讯云对端网关界面，新建对端网关，公网IP为华为云vpn网关的主eip1.3.4 新建VPN通道进入腾讯云vpn通道界面，新建vpn通道；VPN网关类型：私有网络。私有网络选择上面创建的vpc，网关/对端网关：选择上面创建的网关；配置预共享密钥；协商类型：主动协商。选择SPD策略，填写本端对端网段。设置IKE和IPsec配置如下所示：1.3.5 配置路由华为云VPC内会自动生成到VPN网关的路由，腾讯需要在VPC内手动新增一条到华为云私网的路由1.4、验证腾讯侧连接显示正常华为侧连接显示正常流量测试：在华为侧和腾讯侧对应vpc上各买一个ECS云服务器，进行ping测试二、路由模式对接腾讯云 - 双连接场景2.1、组网ipsec参数2.2、华为侧配置创建VPN网关创建对端网关创建VPN连接：使用静态路由模式如果是单连接场景，则不使能NQA 探测，也不用配置隧道接口地址。但是双连接场景，为了实现腾讯侧流量的自动切换，因此必须配置两端镜像配置隧道接口地址，华为侧开启使能NQA可以更快进行流量的切换。2.3、腾讯侧配置创建私有网络及子网在VPC内购买1个IPsecVPN网关创建对端网关创建VPN通道，通信模式选择目的路由腾讯VPN网关创建通道到华为云VPN的主EIP和主EIP2，健康检查的本地地址和对端地址即华为云侧配置的对端隧道接口地址和本端隧道接口地址。健康检查必须配置，否则腾讯云连接故障后流量无法切换。VPC路由表内新增路由策略，下一跳分别为VPN网关VPN网关路由表配置到华为VPC的路由，下一跳为VPN通道，可配置相同权重，形成ECMP2.4、验证2.4.1 华为云华为云连接状态连接健康检查状态华为云VPC里的路由2.4.2 腾讯云腾讯云连接状态腾讯云监控2.4.3 流量测试ping测试：传文件测试

1 思科路由器版本C2900 v15.72 对接配置1：ikev2 策略绑定GigabitEthernet接口 云上VPN专业版使用策略模式对接。show running-config 查看当前配置configure terminal 进入配置视图2.1 IKE配置 加密算法： AES256认证算法： SHA1DH算法： group2crypto ikev2 proposal huawei_ikev2  encryption aes-cbc-256  integrity shal  group 2crypto ikev2 policy 10  proposal huawei ikev2对端地址： 华为云VPN网关IP预共享秘钥 xxx对端ID： 华为云VPN网关IP本端ID： 思科VPN网关IP2.2 IPsec配置 加密算法： AES128认证算法： SHA1封装模式： 隧道模式crypto ipsec transform-set ipsecpro esp-aes esp-sha-hmac  mode tunnel2.3 ACL配置华为侧子网：10.37.0.0/25思科侧子网：172.16.201.0/24show access-list 查看2.4 策略配置map PFS group2ACL： 1002.5 接口配置 crypto map ipsecpolicy2.6 静态路由 对端子网： 10.37.0.0/25第一条是默认路由第二条路由将到云上子网的流量引到出口网关IP注意：如果存在相同目的和掩码的路由，思科路由器会哈希处理，需清理重复路由。可show ip route查看。3    对接配置2：ikev2策略绑定Tunnel接口  云上VPN专业版使用路由模式对接。3.1   IKE配置   同2.1。3.2   IPsec配置   同2.2。3.3   策略配置ipsec profile   不配置ACL。3.4   接口配置   Tunnel口地址：169.254.78.170 —— VPN专业版查到的对端隧道地址，用于NQA探测隧道源： GigabitEthernet0/2——该接口绑定了公网IP隧道类型： ipsec ipv4 —— Tunnel接口的用途隧道目的： 云上公网IP地址tunnel protection ipsec profile 10 —— 隧道保护的ipsec profile3.5   静态路由第一条默认路由第二条将VPN保护流量引入Tunnel口，下一跳需要是云上的本端隧道接口地址云上子网：192.168.0.0/16注意：思科侧的子网在云上对应配置：4    常用命令show crypto ikev2 sa 查看ike sa协商状态，根据信息的源目的ip，确认当前正在协商两个ike sashow crypto ipsec sa 查看ipsec sa收发包情况和一些丢包计数，pkts encaps和pkts decaps分别为ipsec隧道的加解密包计数；send error和recv error为收发包异常计数，如果不为0，需要排查确认异常原因；

cid:link_0

cid:link_0

cid:link_0

山石配置1、安全策略建议先使用全放通，待VPN调通后再根据需要配置安全策略；如果需要做安全策略的限制，可以只放通两端VPN公网IP，以及需要连通的两端子网网段；2、IPSEC VPN，两条VPN的配置除了对端地址不同外，其他配置完全一样Hillstone连接华为VPN主EIP的链接配置如下，对接华为VPN路由模式，代理ID可以选择自动，或者选择手工（手工时填写全0，any）IPSECVPN中主备的对端配置：提议1：提议2：3、创建安全域4、Tunnel创建加入创建的安全域IP地址为华为VPN连接的Tunnel地址分别绑定到主备IPsec VPN5、山石目的路由配置添加2条到华为VPC私网的静态路由，下一跳分别为Tunnel1和Tunnel2，优先权相同则都会活跃并负载分担。Tunnel2的优先权调整后可以实现主备功能，调高Tunnel2优先权为2后该条路由不活跃，只有Tunnel1故障后才会活跃。添加一条Hillston VPC私网的路由，下一跳为网关的接口地址。否则在双连接的场景下，从云上ping Hillstone的私网地址，只能ping和Hillstone网关接口地址相同的子网地址，其他子网地址会出现环路ping超时。6、山石VPC的云上路由配置华为配置：1、网关配置2、连接配置，主备连接除了使用的VPN网关主备EIP不同外，其他配置相同主备切换说明，修改华为侧主连接ikev1到ikev2，触发重新协商故障1、在主备连接都是OK的时候，华为侧VPN默认走主连接出云，主连接故障后自动从备连接出云。主恢复后，流量会回切2、在主备连接都是OK的时候，Hillstone根据Tunnel路由的优先级处理流量，Tunnel主备时如果主故障，主的路由变味不活跃，备的变为活跃，流量走备Tunnel出去。主恢复后，流量回切到主Tunnel。3、测试数据，Ping报文1秒1个主故障后，华为和山石切换到备链路时间基本一致，2-3秒。异常情况排查1 流量丢包 需要在山石设备上将内网网段加入攻击防护的白名单中2、路由模式对接后，发现双连接场景下，回切丢包时间过长     请排查路由模式下，山石Tunnel接口配置中高级配置，需要关闭逆向路由3、山石防火墙IPSecVPN配置中“接受对端任意代理ID”选项和代理ID列表配置参数说明A）：接受对端任意代理ID选项关闭，则代理ID列表的感兴趣流可以配置多组，与华为云VPN策略模式对接时，应该按照此场景配置，两端的感兴趣流必须镜像配置。B）：接受对端任意代理ID选项打开，则流量不受代理ID列表配置的感兴趣流的限制。另外打开选项时，代理ID列表手工配置感兴趣流只能配置1组。代理ID选择自动时，山石的SA感兴趣流为安全策略中配置的出入该隧道的网段。         山石策略模式与华为云VPN策略模式对接时，要避免打开接受对端任意代理ID选项，否则会出现部分子网流量不通。         山石策略模式与华为云VPN静态路由模式对接时，要打开接受对端任意代理ID选项。否则多子网场景协商失败。华为报flow mismatch，山石报Proxy id mismatch。