介绍如何在 SD-WAN Orchestrator 中配置通过 SD-WAN Edge通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 类型的 Non VMware SD-WAN Site

过程

  1. SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)
    将显示 服务 (Services) 屏幕。
  2. 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 区域中,单击新建 (New) 按钮。
    将显示 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 对话框。
  3. 服务名称 (Service Name) 文本框中,输入 Non VMware SD-WAN Site 的名称。
  4. 服务类型 (Service Type) 下拉菜单中,选择通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 以作为 IPsec 隧道类型。
  5. 单击下一步 (Next)
    将创建 IKEv2 类型的基于路由的 Non VMware SD-WAN Site,并显示 Non VMware SD-WAN Site 的对话框。
  6. 主 VPN 网关 (Primary VPN Gateway) 下面的公用 IP (Public IP) 文本框中,输入主 VPN 网关的 IP 地址。
  7. 要为 Non VMware SD-WAN Site 的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
  8. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
    字段 描述
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。如果不希望对数据进行加密,请选择空 (Null)。默认值为 AES 128。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认值为“已禁用”(Disabled)。
    哈希 (Hash) VPN 标头的身份验证算法。从列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    默认值为 SHA 256。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。
    DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) 在将对等项视为不活动之前,设备应等待接收 DPD 消息响应的最长时间。默认值为 20 秒。您可以将 DPD 超时定时器配置为 0 秒以禁用 DPD。
    注: 在 AWS 启动到 VMware SD-WAN Gateway(在非 SD-WAN 目标中)的重新加密隧道时,可能会发生故障而不建立隧道,这可能会导致流量中断。请遵循以下准则:
    • SD-WAN Gateway 的 IPsec SA 生命周期(分钟)定时器配置必须小于 60 分钟(建议为 50 分钟),以便与 AWS 默认 IPsec 配置匹配。
    • DH 和 PFS DH 组必须匹配。
  9. 如果要为该站点创建辅助 VPN 网关,请选中辅助 VPN 网关 (Secondary VPN Gateway) 复选框,然后在公用 IP (Public IP) 文本框中输入辅助 VPN 网关的 IP 地址。

    将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。

  10. 选中保持隧道处于活动状态 (Keep Tunnel Active) 复选框,以将该站点的辅助 VPN 隧道保持活动状态。
  11. 选中隧道设置与主 VPN 网关相同 (Tunnel settings are same as Primary VPN Gateway) 复选框,以应用与主 VPN 网关相同的隧道设置。
    对主 VPN 网关所做的任何隧道设置更改也会应用于辅助 VPN 隧道(如果已配置)。
  12. 站点子网 (Site Subnets) 下面,您可以单击 + 按钮以添加 Non VMware SD-WAN Site 的子网。
    注: 要支持 Non VMware SD-WAN Site 类型的数据中心,除了 IPSec 连接以外,您还需要在 VMware 系统中配置 Non VMware SD-WAN Site 本地子网。
  13. 单击保存更改 (Save Changes)