在MACC诺客云配置Easy VPN

一、适配场景

本文适用于总、分公司，通过跨互联网建立加密的虚拟通道，实现总分部之间数据互访，在保障数据安全传输不被非法拦截的同时节省专线成本。需要在总部设备和分部设备之间建立IPSec VPN隧道来保证传输数据的机密性。本文通过MACC配置Easy VPN为例。

二、注意事项

1、总部和分部设备都正常联网上线MACC诺客云平台（https://noc.ruijie.com.cn/）并且设备是在线状态。

2、Easy VPN自动感知总部公网IP变化并更新配置。总部出口使用运营商非固定公网IP，当总部网关的出口IP发生变化时，MACC感知并下发新的公网IP到分支机构的IPSec VPN配置，以保障链路可以继续使用。

3、外网都是IPv4（使用Easy VPN 1.0），支持的型号版本：

说明：总部必须使用IPv4公网地址（静态或动态的公网地址）。

（1）EG系列（除EG105GW、EG105G-P-L）：ReyeeOS 1.86及以上版本开始支持

（2）NBR108G-P、NBR800G、NBR6-E系列：支持，具体版本不限制，建议升级到最新版本

（3）NBR-N7000系列：支持，具体版本不限制，建议升级到最新版本

4、外网都有IPv6（Easy VPN 2.0），支持的型号版本【无专线、无IPv4公网就能异地VPN组网】：

说明：总部EG设备上联光猫要切成桥接模式，分部EG设备上联光猫路由模式和桥接模式都行。

（1）EG系列（除EG105GW、EG105G-P-L、EG105G、EG105G-P、EG105GW-E）：ReyeeOS 1.230及以上版本开始支持

（2）NBR108G-P、NBR800G、NBR6-E系列：不支持

（3）NBR-N7000系列：不支持

三、网络规划

本文以NBR7508-E（总部）和EG310XS-E（分部）配置为例：

（1）总部（NBR-N7508-E）网段：192.168.1.1/24    服务器地址：192.168.1.254/24

（2）分支（EG310XS-E）网段：192.168.110.0/24

四、配置方法

1、配置总部

①创建VPN组

登录MACC，选择：服务>Easy VPN。

在跳转的Easy VPN配置页面，选择：创建第一个VPN，填写VPN的名字，可自定义，然后点击确定。

② 配置总部设备和参数

选择总部网关设备所在的项目名称；

等待获取网关配置后，选择：有公网IP地址的外网接口>允许可访问的总部IP段（总部服务器所在网段）>预共享密钥为自动生成也可以手动配置，最后点击下发总部配置即可。

高级配置（可跳过）：点击高级配置可配置IKE，生命周期，协商模式等参数，建议保持默认。

主模式更可靠，对网络环境要求更高；若主模式协商失败建议改为野蛮模式尝试。

完美向前加密：提高安全性，确保其中一个专用密钥在今后发生泄漏时,派生的会话密钥不会泄漏。但可能损失转发性能，数据传输速度变慢。

总部配置下发成功后，选择：前往添加分支，进行分部设备的配置。

2、配置分支

① 选择：前往添加分支后跳转到分支配置页面，勾选分部网关所在的网络项目名称，点击确定。

② 选择分部需要访问总部的IP段，点击下发分支配置。

【注意】如有多个分支网络，不同分支网段配置时需要错开。如果配置提示网段冲突，则需要修改成不同网段。

③下发配置成功后，一个基于总部分支的VPN组就配好了。

五、常见问题

1、是否支持NBR和EG网关混合使用，有没有什么需要注意的地方？

支持。

① 不建议在设备Eweb和MACC上同时做VPN配置，尤其是NBR设备，可能导致VPN配置冲突。

② 需要通过IPv6异地组网的话，注意NBR系列不支持

2、允许分支互访效果如何，是什么原理？

勾选允许分支互访后，当前MACC实现原理是把总部和分支接入VPN的网段设置在一个大网段内，例如分支1和分支2的网段分别为192.168.110.0/24、192.168.120.0/24，总部网段为192.168.1.0/24。他们的网段都在大网段192.168.0.0/16中，此时MACC配置总部接入网段为192.168.0.0/16，于是分支即可互访。

3、预加密密钥是否可以直接使用默认值？

可以，MACC随机生成默认密钥，当分支加入VPN组后也会自动下发该密钥，因此无特殊需求无需修改。

4、总部出口IP变化，分支大约需要多久能恢复？

MACC从感知到总部IP发生变化到下发完配置，一般需要的时间在一分钟以内，但是链路恢复时间还包含运营商IP变化重新拨号时间和VPN重拨时间，这里可能消耗几十秒。