跳转至
Megaport 技术文档
在 MCR 中使用 IPsec
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

在 MCR 上使用 IPsec

适用于 MCR 的 IPsec 附加功能可让你从分支机构、远程站点或云环境创建安全、加密的隧道,而无需部署物理 Port。无论身在何处,你都可以为公共或私有路径提供内置加密,从而扩展你的网络。

你可以在创建 MCR 时启用 IPsec,或通过编辑配置在现有 MCR 上启用。要添加 IPsec 详细信息,请编辑 MCR VXC 并按需配置 IPsec 隧道。

对于连接到单个 MCR 的所有 VXCs,你最多可以配置 30 条 IPsec 隧道。IPsec 隧道以每 10 条为一组提供。每个 MCR 最多支持 3 组,合计每个 MCR 最多 30 条 IPsec 隧道。若需要超过 30 条 IPsec 隧道,请联系 Megaport 支持团队

注意

如果你在香港、墨西哥或荷兰使用带有 Megaport Internet 的 MCR,则必须保持启用 IPsec。你不能在这些市场禁用 IPsec。有关详细信息,请参阅 Megaport Internet 概述

支持的密码套件

MCR 将向 IPsec 对等体提供以下密码套件。目前,这些选项不可配置。

加密

  • AES128-GCM-128

  • AES256-GCM-128

完整性

  • HMAC SHA-1

  • HMAC SHA-256

  • HMAC SHA-384

  • HMAC SHA-512

密钥交换(Diffie-Hellman 组)

  • MODP

    • Diffie-Hellman 组 2(1024 位)

    • Diffie-Hellman 组 14(2048 位)

  • ECP

    • Diffie-Hellman 组 19(256 位随机)

    • Diffie-Hellman 组 20(384 位随机)

    • Diffie-Hellman 组 21(521 位随机)

IP MTU 设置

由于加密和封装,IPsec 数据包会包含额外开销。我们建议您根据您的网络情况仔细配置 IP 最大传输单元(MTU)IP MTU(最大传输单元)指的是可以通过网络接口(VXC)发送的 IP 数据包的最大大小(以字节为单位)。 巨型数据包大于标准的 1500 字节(MTU),通常用于高性能网络以减少开销并提高效率。
。最大值取决于已协商的密码套件。 如果您未配置 IP MTU 设置,MCR 将使用以下默认值:

  • 使用 IPv4 时,比父接口 IP MTU 小 96 字节
  • 使用 IPv6 时,比父接口 IP MTU 小 116 字节

这些数值考虑了开销最大的密码套件。

在 MCR 上启用并配置 IPsec

在 MCR 上启用 IPsec

在创建 MCR 时要启用 IPsec,请在 Connection Details 页面上单击 + Add IPsec(添加 IPsec)。 有关详细信息,请参阅 创建 MCR

你将在 MCR VXC 上配置 IPsec 连接详细信息,如下所述。

在 MCR 上配置 IPsec

先决条件

要为 MCR 连接配置 IPsec,你需要:

  • A configured interface(已配置的接口) – 对于每个连接到 MCR 的 VXC,你可以配置一个或多个接口。 IPsec 隧道的详细信息取决于在接口选项卡上配置了 IP 地址。默认情况下,每个 MCR VXC 都有一个接口,但你可以添加更多接口。 有关详细信息,请参阅 创建 MCR VXC 的 A-End 接口部分。

  • Pre-shared key(预共享密钥) – 这是你提供的一个值。它用于在两端建立隧道的过程中。

    • 长度必须介于 8 到 100 个字符之间。
    • 这是必填字段。

  • Destination IP Address(目标 IP 地址) – 目标端点的 IP 地址,IPv4/6 格式。例如,192.168.1.2

在 MCR VXC 上配置 IPsec

  1. 创建你的连接,例如云或私有 VXC。
    有关详细信息,请参阅 创建 MCR VXC

  2. 等待连接变为可用,然后单击 VXC 旁边的齿轮图标以编辑详细信息。
    VXC 详细信息

  3. 单击 Next(下一步),或单击标题上的 A-End(A 端)选择 VXC A-End

  4. 根据需要,在页面上显示的 Interface(接口) 中添加描述。
    这是默认接口。

  5. 单击 + Add IPsec Tunnel Interface(添加 IPsec 隧道接口)
    添加 IPsec 隧道详细信息:

    • Description(描述) – 输入该 IPsec 隧道的描述,供参考。
    • Source IP Address(源 IP 地址) – 单击该框,并从下拉列表中选择地址。
      这是在此 VXC 上定义的接口 IP 地址列表。
    • Destination IP Address(目标 IP 地址) – 添加目标 IP 地址。
      隧道的目标 IP 地址不能是同一 MCR 上已配置的 IP 地址。
    • Pre-shared key(预共享密钥) – 添加一个同时为 IKE2(Internet Key Exchange version 2)发起端和响应端所共有的密钥。长度必须在 8 到 100 个字符之间。
    • Start Action(启动模式) – 选择 active 或 passive。 Passive 表示本地 MCR 为 IPsec 响应端,等待远端发起 IKE2 初始化。
    • Phase 1 Lifetime(第一阶段生命周期) – 输入 300 到 604800 秒之间的值。这是 IKE2 会话的生命周期(单位:秒)。默认值为 28800 秒(8 小时)。到期后将进行重新密钥协商。
    • Phase 2 Lifetime(第二阶段生命周期) – 输入 300 到 604800 秒之间的值。这是 IPsec 安全关联(SA)的生命周期(单位:秒)。该值必须小于 phase1Lifetime。默认值为 3600 秒(1 小时)。到期后将进行重新密钥协商
      IPsec 配置详细信息

  6. 向下滚动页面并单击 Save(保存)

参考资料