介绍了如何配置 AWS VPN 网关类型的非 VMware SD-WAN 站点。

关于此任务

您只能在配置文件级别配置通过网关的非 SD-WAN 目标,而不能在 SD-WAN Edge 级别覆盖这些目标。

过程

  1. SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)

    将显示服务 (Services) 屏幕。

  2. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击新建 (New) 按钮。

    将显示新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。

  3. 名称 (Name) 文本框中,输入 非 SD-WAN 目标 的名称。
  4. 类型 (Type) 下拉菜单中,选择AWS VPN 网关 (AWS VPN Gateway)

  5. 输入主 VPN 网关的 IP 地址,然后单击下一步 (Next)

    将创建 AWS VPN 网关类型的非 SD-WAN 目标,并显示非 SD-WAN 目标的对话框。

  6. 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。

  7. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
    字段 描述
    隧道模式 (Tunnel Mode) 在 SD-WAN 网关上支持活动-热备用。将自动显示活动/热备用,以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。
    PSK 预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。默认情况下,SD-WAN Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。默认值为 AES 128。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。建议使用 DH 组 14。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2 和 5。默认值为“已停用”(Deactivated)。
    身份验证算法 (Authentication Algorithm) VPN 标头的身份验证算法。从下拉菜单列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    默认值为 SHA 1。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 SD-WAN Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPSec 生命周期为 3 分钟,最长生命周期为 480 分钟。默认值为 480 分钟。
    DPD 类型 (DPD Type) 不活动对等体检测 (Dead Peer Detection, DPD) 方法用于检测 Internet 密钥交换 (IKE) 对等体是处于活动状态还是不活动状态。如果检测到对等体处于不活动状态,设备将删除 IPsec 和 IKE 安全关联。从列表中选择“定期”(Periodic) 或“按需”(on Demand)。默认值为“按需”(on Demand)。
    DPD 超时 (秒) (DPD Timeout(sec)) 在将对等体视为不活动之前,设备应等待接收 DPD 消息响应的最长时间。默认值为 20 秒。您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。
  8. 要为该站点创建辅助 VPN 网关,请单击辅助 VPN 网关 (Secondary VPN Gateway) 旁边的添加 (Add) 按钮。在弹出窗口中,输入辅助 VPN 网关的 IP 地址,然后单击保存更改 (Save Changes)

    将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。

  9. 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密、DH 组或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。
  10. 在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击查看 IKE/IPsec 模板 (View IKE/IPsec Template) 以查看更新的隧道配置。

  11. 单击位于通过网关的非 SD-WAN 目标 (Non SD-WAN Destination Via Gateway) 对话框右上角的更新位置 (Update location) 链接,以设置配置的非 VMware SD-WAN 站点的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 SD-WAN Edge 或 SD-WAN 网关。
  12. 站点子网 (Site Subnets) 区域下面,您可以单击 + 按钮以添加非 VMware SD-WAN 站点的子网。可以使用“自定义源子网”(Custom Source Subnets) 以覆盖路由到该 VPN 设备的源子网。通常,源子网是从路由到该设备的 SD-WAN Edge LAN 子网派生的。
    注: 如果未配置站点子网,应停用站点子网以启用隧道。
  13. 在准备好启动从 SD-WAN 网关到 AWS VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
  14. 单击保存更改 (Save Changes)
  15. 导航到 SD-WAN Orchestrator 中的配置 (Configure) > 配置文件 (Profiles),以将新创建的非 SD-WAN 站点网络服务分配给一个配置文件。请参阅配置分支和通过网关的非 SD-WAN 目标之间的隧道
  16. 在 SD-WAN Orchestrator 中转到配置 (Configure) > 网络服务 (Network Services) 以返回到通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域。
  17. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,滚动到您的非 SD-WAN 站点的名称,然后单击 BGP 列中的编辑 (Edit) 链接。
  18. 为以下必填字段配置基于 AWS 的 BGP 值:本地 ASN (Local ASN)、隧道类型 (Tunnel Type)、邻居 IP (Neighbor IP) 和本地 IP (Local IP)(在“高级选项”(Advanced Options) 部分中)。注意:默认情况下,将更新隧道类型。如果需要,请参阅 AWS 文档。有关更多信息,请参阅在来自网关的 IPsec 上配置 BGP
  19. 单击确定 (OK) 按钮以保存所做的更改。
  20. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击某个 非 SD-WAN 目标 对应的 BFD 列中的编辑 (Edit) 链接,以配置 BFD 设置。有关更多信息,请参阅为网关配置 BFD

后续操作

您可以在“监控”(Monitoring) 选项卡中查看非 SD-WAN 站点的总体状态。请参阅: