跳轉到
Megaport 技術文件
在 MCR 中使用 IPsec
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

在 MCR 上使用 IPsec

適用於 MCR 的 IPsec 附加功能可讓您在不部署實體 Port 的情況下,從分公司、遠端站點或雲端環境建立安全、加密的隧道。無論您身在何處,都能以內建加密延伸您的網路,適用於公用或私有路徑。

您可以在建立 MCR 時啟用 IPsec,或透過編輯組態在現有的 MCR 上啟用。若要新增 IPsec 詳細資料,請編輯 MCR VXC,並依需求設定 IPsec 隧道。

您可以在連接至單一 MCR 的所有 VXC 上,最多設定 30 條 IPsec 隧道。IPsec 隧道以每組 10 條提供。每個 MCR 最多支援三組,每個 MCR 的 IPsec 隧道上限為 30 條。若您需要超過 30 條 IPsec 隧道,請聯絡 Megaport Support team

備註

如果您在香港、墨西哥或荷蘭擁有搭配 Megaport Internet 的 MCR,則必須保持 IPsec 處於啟用狀態。您無法在這些市場停用 IPsec。更多資訊,請參閱 Megaport Internet 總覽

支援的演算法

MCR 會向 IPsec 對等端提供下列演算法。 目前這些選項無法設定。

加密

  • AES128-GCM-128

  • AES256-GCM-128

完整性

  • HMAC SHA-1

  • HMAC SHA-256

  • HMAC SHA-384

  • HMAC SHA-512

金鑰交換(Diffie-Hellman 群組)

  • MODP

    • Diffie-Hellman 群組 2(1024 位元)

    • Diffie-Hellman 群組 14(2048 位元)

  • ECP

    • Diffie-Hellman 群組 19(256 位元隨機)

    • Diffie-Hellman 群組 20(384 位元隨機)

    • Diffie-Hellman 群組 21(521 位元隨機)

IP MTU 設定

由於加密與封裝,IPsec 封包會包含額外開銷。建議您謹慎設定您的 IP 最大傳輸單元(MTU)IP MTU(最大傳輸單元)是指可透過網路介面(VXC)傳送的 IP 封包之最大大小(以位元組計)。 Jumbo 封包大於標準的 1500 位元組(MTU),通常用於高效能網路,以降低額外開銷並提升效率。
 以符合您的網路。 最大值取決於已協商的演算法。 如果您未設定 IP MTU,MCR 會使用下列預設值:

  • 對於 IPv4,父介面 IP MTU 減少 96 位元組
  • 對於 IPv6,父介面 IP MTU 減少 116 位元組

這些數值可因應開銷最大的演算法。

在 MCR 上啟用與設定 IPsec

在 MCR 上啟用 IPsec

在建立 MCR 時要啟用 IPsec,請在 Connection Details 頁面按一下 + Add IPsec (新增 IPsec)。 如需詳細資訊,請參閱建立 MCR

您會在 MCR VXC 上設定 IPsec 連線詳細資料,如下所述。

在 MCR 上設定 IPsec

先決條件

要為 MCR 連線設定 IPsec,您需要:

  • 已設定的介面 – 對於連接到 MCR 的每個 VXC,您可以設定一個或多個介面。 IPsec 隧道詳細資料需以介面分頁上的 IP 位址為依據。每個 MCR VXC 依預設會有一個介面,但您可以新增更多。 如需詳細資訊,請參閱建立 MCR VXC 的 A 端介面章節。

  • 預先共享金鑰 – 這是您提供的值。此值用於在兩端建立隧道的一部分。

    • 長度必須介於 8 到 100 個字元之間。
    • 這是必填欄位。

  • 目的端 IP 位址 – 目的端點的 IP 位址,格式為 IPv4/6。例如,192.168.1.2

在 MCR VXC 上設定 IPsec

  1. 建立您的連線,例如雲端或私有 VXC。
    如需詳細資訊,請參閱建立 MCR VXC

  2. 等連線上線後,按一下 VXC 旁的齒輪圖示以編輯詳細資料。
    VXC 詳細資料

  3. 按一下 Next (下一步),或按一下標頭上的 A-End (A 端)選取 VXC A 端

  4. 在頁面上顯示的 Interface (介面) 新增描述(如有需要)。
    這是預設介面。

  5. 按一下 + Add IPsec Tunnel Interface(新增 IPsec 隧道介面)
    新增 IPsec 隧道詳細資料:

    • Description(描述) – 輸入 IPsec 隧道的描述以供參考。
    • Source IP Address(來源 IP 位址) – 按一下欄位,然後從下拉清單中選取位址。
      這是此 VXC 上已定義的介面 IP 位址清單。
    • Destination IP Address(目的 IP 位址) – 新增目的 IP 位址。
      隧道的目的 IP 位址不可為在同一個 MCR 上所設定的 IP 位址。
    • Pre-shared key(預先共用金鑰) – 新增一個 IKE2(Internet Key Exchange 版本 2)發起端與回應端共用的金鑰。長度必須介於 8 到 100 個字元之間。
    • Start Action(啟動動作) – 選擇 active 或 passive。 Passive 表示本地 MCR 為 IPsec 回應端,等待遠端進行 IKE2 啟動。
    • Phase 1 Lifetime(第 1 階段存活時間) – 輸入 300 到 604800 秒之間的數值。這是 IKE2 工作階段的存活時間(秒)。預設值為 28800 秒(8 小時)。到期時會重新金鑰交換。
    • Phase 2 Lifetime(第 2 階段存活時間) – 輸入 300 到 604800 秒之間的數值。這是 IPsec Security Association(SA)的存活時間(秒)。此值必須小於 phase1Lifetime。預設值為 3600 秒(1 小時)。到期時會重新金鑰交換
      IPsec 設定詳細資料

  6. 向下捲動頁面,然後按一下 Save (儲存)

實用參考資料