介绍如何在 SD-WAN Orchestrator 中配置通用防火墙 (基于策略的 VPN) (Generic Firewall (Policy Based VPN)) 类型的 Non VMware SD-WAN Site

过程

  1. SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)
    将显示 服务 (Services) 屏幕。
  2. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击新建 (New) 按钮。
    将显示 新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。
  3. 名称 (Name) 文本框中,输入 Non VMware SD-WAN Site 的名称。
  4. 类型 (Type) 下拉菜单中,选择通用防火墙 (基于策略的 VPN) (Generic Firewall (Policy Based VPN))
  5. 输入主 VPN 网关的 IP 地址,然后单击下一步 (Next)
    将创建通用防火墙(基于策略的 VPN)类型的 Non VMware SD-WAN Site,并显示 Non VMware SD-WAN Site 的对话框。
  6. 要为 Non VMware SD-WAN Site 的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
  7. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
    字段 描述
    PSK 预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。默认情况下,Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,您可以在文本框中输入该 PSK 或密码。
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。默认值为 AES 128。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。建议使用 DH 组 14。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2 和 5。默认值为“已禁用”(Disabled)。
    注: 通用防火墙(基于策略的 VPN)网络服务类型不支持辅助 VPN 网关。
  8. 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。
    对主 VPN 网关的加密、DH 组或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击 查看 IKE/IPSec 模板 (View IKE/IPSec Template) 以查看更新的隧道配置。
  9. 单击更新位置 (Update location) 链接以设置配置的 Non VMware SD-WAN Site 的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
  10. 本地身份验证 ID 定义本地网关的格式和标识。从本地身份验证 ID (Local Auth Id) 下拉菜单中,从以下类型中进行选择,然后输入您确定的值:
    • FQDN - 完全限定域名或主机名。例如,google.com。
    • 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,[email protected]
    • IPv4 - 用于与本地网关通信的 IP 地址。
    注:

    对于通用防火墙(基于策略的 VPN),如果用户未指定值,则将默认 (Default) 作为本地身份验证 ID。默认本地身份验证 ID 值将是 SD-WAN Gateway 接口本地 IP。

  11. 站点子网 (Site Subnets) 下面,您可以单击 + 按钮以添加 Non VMware SD-WAN Site 的子网。如果您不需要站点的子网,请选中禁用站点子网 (Disable Site Subnets) 复选框。
  12. 使用自定义源子网 (Custom Source Subnets) 覆盖路由到该 VPN 设备的源子网。通常,源子网派生自路由到该设备的 Edge LAN 子网。
  13. 在准备好启动从 SD-WAN Gateway 到通用防火墙(基于策略的 VPN)VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
  14. 单击保存更改 (Save Changes)