介绍了如何配置 AWS VPN 网关类型的非 VMware SD-WAN 站点。
关于此任务
您只能在配置文件级别配置通过网关的非 SD-WAN 目标,而不能在 SD-WAN Edge 级别覆盖这些目标。
过程
- 从 SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)。
将显示服务 (Services) 屏幕。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击新建 (New) 按钮。
将显示新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。
- 在名称 (Name) 文本框中,输入 非 SD-WAN 目标 的名称。
- 从类型 (Type) 下拉菜单中,选择AWS VPN 网关 (AWS VPN Gateway)。
- 输入主 VPN 网关的 IP 地址,然后单击下一步 (Next)。
将创建 AWS VPN 网关类型的非 SD-WAN 目标,并显示非 SD-WAN 目标的对话框。
- 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
- 在主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
字段 描述 隧道模式 (Tunnel Mode) 在 SD-WAN 网关上支持活动-热备用。将自动显示活动/热备用,以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。 PSK 预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。默认情况下,SD-WAN Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。 加密 (Encryption) 选择 AES 128 或 AES 256 以作为数据加密的 AES 算法密钥大小。默认值为 AES 128。 DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。建议使用 DH 组 14。 PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2 和 5。默认值为“已停用”(Deactivated)。 身份验证算法 (Authentication Algorithm) VPN 标头的身份验证算法。从下拉菜单列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一: - SHA 1
- SHA 256
- SHA 384
- SHA 512
默认值为 SHA 1。
IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 SD-WAN Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。 IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPSec 生命周期为 3 分钟,最长生命周期为 480 分钟。默认值为 480 分钟。 DPD 类型 (DPD Type) 不活动对等体检测 (Dead Peer Detection, DPD) 方法用于检测 Internet 密钥交换 (IKE) 对等体是处于活动状态还是不活动状态。如果检测到对等体处于不活动状态,设备将删除 IPsec 和 IKE 安全关联。从列表中选择“定期”(Periodic) 或“按需”(on Demand)。默认值为“按需”(on Demand)。 DPD 超时 (秒) (DPD Timeout(sec)) 在将对等体视为不活动之前,设备应等待接收 DPD 消息响应的最长时间。默认值为 20 秒。您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。 - 要为该站点创建辅助 VPN 网关,请单击辅助 VPN 网关 (Secondary VPN Gateway) 旁边的添加 (Add) 按钮。在弹出窗口中,输入辅助 VPN 网关的 IP 地址,然后单击保存更改 (Save Changes)。
将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
- 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密、DH 组或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。
- 在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击查看 IKE/IPsec 模板 (View IKE/IPsec Template) 以查看更新的隧道配置。
- 单击位于通过网关的非 SD-WAN 目标 (Non SD-WAN Destination Via Gateway) 对话框右上角的更新位置 (Update location) 链接,以设置配置的非 VMware SD-WAN 站点的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 SD-WAN Edge 或 SD-WAN 网关。
- 在站点子网 (Site Subnets) 区域下面,您可以单击 + 按钮以添加非 VMware SD-WAN 站点的子网。可以使用“自定义源子网”(Custom Source Subnets) 以覆盖路由到该 VPN 设备的源子网。通常,源子网是从路由到该设备的 SD-WAN Edge LAN 子网派生的。
注: 如果未配置站点子网,应停用站点子网以启用隧道。
- 在准备好启动从 SD-WAN 网关到 AWS VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
- 单击保存更改 (Save Changes)。
- 导航到 SD-WAN Orchestrator 中的配置 (Configure) > 配置文件 (Profiles),以将新创建的非 SD-WAN 站点网络服务分配给一个配置文件。请参阅配置分支和通过网关的非 SD-WAN 目标之间的隧道。
- 在 SD-WAN Orchestrator 中转到配置 (Configure) > 网络服务 (Network Services) 以返回到通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,滚动到您的非 SD-WAN 站点的名称,然后单击 BGP 列中的编辑 (Edit) 链接。
- 为以下必填字段配置基于 AWS 的 BGP 值:本地 ASN (Local ASN)、隧道类型 (Tunnel Type)、邻居 IP (Neighbor IP) 和本地 IP (Local IP)(在“高级选项”(Advanced Options) 部分中)。注意:默认情况下,将更新隧道类型。如果需要,请参阅 AWS 文档。有关更多信息,请参阅在来自网关的 IPsec 上配置 BGP。
- 单击确定 (OK) 按钮以保存所做的更改。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击某个 非 SD-WAN 目标 对应的 BFD 列中的编辑 (Edit) 链接,以配置 BFD 设置。有关更多信息,请参阅为网关配置 BFD。
后续操作
您可以在“监控”(Monitoring) 选项卡中查看非 SD-WAN 站点的总体状态。请参阅: