介绍如何在 SD-WAN Orchestrator 中配置通过 SD-WAN 网关 的通用 IKEv1 路由器 (基于路由的 VPN) (Generic IKEv1 Router (Route Based VPN)) 类型的 非 SD-WAN 目标。
过程
- 从 SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)。
将显示
服务 (Services) 屏幕。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击新建 (New) 按钮。
将显示
新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。
- 在名称 (Name) 文本框中,输入 非 SD-WAN 目标 的名称。
- 从类型 (Type) 下拉菜单中,选择通用 IKEv1 路由器 (基于路由的 VPN) (Generic IKEv1 Router (Route Based VPN))。
- 输入主 VPN 网关(和辅助 VPN 网关,如果需要)的 IP 地址,然后单击下一步 (Next)。
将创建 IKEv1 类型的基于路由的
非 SD-WAN 目标,并显示
非 SD-WAN 目标 的对话框。
- 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
- 在主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
字段 |
描述 |
隧道模式 (Tunnel Mode) |
在 SD-WAN 网关上支持活动-热备用。将自动显示活动/热备用,以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。 |
PSK |
预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。默认情况下,Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,您可以在文本框中输入该 PSK 或密码。
注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。
|
加密 (Encryption) |
选择 AES 128 或 AES 256 以作为数据加密的 AES 算法密钥大小。默认值为 AES 128。 |
DH 组 (DH Group) |
选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。建议使用 DH 组 14。 |
PFS |
选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2 和 5。默认值为 2。 |
- 如果要为该站点创建辅助 VPN 网关,请单击辅助 VPN 网关 (Secondary VPN Gateway) 旁边的添加 (Add) 按钮。在弹出窗口中,输入辅助 VPN 网关的 IP 地址,然后单击保存更改 (Save Changes)。
将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
- 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。
对主 VPN 网关的加密、DH 组或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击
查看 IKE/IPsec 模板 (View IKE/IPsec Template) 以查看更新的隧道配置。
- 单击更新位置 (Update location) 链接以设置配置的 非 SD-WAN 目标 的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
- 本地身份验证 ID 定义本地网关的格式和标识。从本地身份验证 ID (Local Auth Id) 下拉菜单中,从以下类型中进行选择,然后输入您确定的值:
- FQDN - 完全限定域名或主机名。例如,google.com。
- 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,[email protected]。
- IPv4 - 用于与本地网关通信的 IP 地址。
注:
对于基于路由的通用 VPN,如果用户未指定值,则将默认 (Default) 作为本地身份验证 ID。默认本地身份验证 ID 值将是 SD-WAN 网关 接口公用 IP。
- 在站点子网 (Site Subnets) 下面,您可以单击 + 按钮以添加 非 SD-WAN 目标 的子网。如果您不需要使用站点的子网,请选中停用站点子网 (Deactivate Site Subnets) 复选框。
- 在准备好启动从 SD-WAN 网关到通用 IKEv1 VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
- 单击保存更改 (Save Changes)。
- 导航到 SD-WAN Orchestrator 中的配置 (Configure) > 配置文件 (Profiles),以将新创建的非 SD-WAN 站点网络服务分配给一个配置文件。请参阅配置分支和通过网关的非 SD-WAN 目标之间的隧道。
- 在 SD-WAN Orchestrator 中转到配置 (Configure) > 网络服务 (Network Services) 以返回到通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,滚动到您的非 SD-WAN 站点的名称,然后单击 BGP 列中的编辑 (Edit) 链接。
- 为以下必填字段配置 BGP 值:本地 ASN (Local ASN)、隧道类型 (Tunnel Type)、邻居 IP (Neighbor IP) 和本地 IP (Local IP)(在“高级选项”(Advanced Options) 部分中)。有关更多信息,请参阅在来自网关的 IPsec 上配置 BGP。
注: SD-WAN Orchestrator 分配的 VTI IP(专用 IP)可用于单跳 BGP 中的对等关系。
- 单击确定 (OK) 以保存更改。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击某个 非 SD-WAN 目标 对应的 BFD 列中的编辑 (Edit) 链接,以配置 BFD 设置。有关更多信息,请参阅为网关配置 BFD。
下一步做什么
您可以在“监控”(Monitoring) 选项卡中查看非 SD-WAN 站点的总体状态。请参阅: