按以下步骤在 SD-WAN Orchestrator 中配置通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 类型的非 SD-WAN 目标。
过程
- 在创建通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 类型的非 SD-WAN 目标配置后,您将被重定向到其他配置选项页面:
- 您可以配置以下隧道设置:
选项 描述 常规 名称 (Name) 您可以编辑之前为 非 SD-WAN 目标 输入的名称。 类型 类型显示为通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN))。您无法编辑此选项。 启用隧道 单击切换按钮以启动从 SD-WAN 网关到通用 IKEv2 路由器 VPN 网关的隧道。 隧道模式 (Tunnel Mode) 显示活动/热备用 (Active/Hot-Standby),以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。 主 VPN 网关 (Primary VPN Gateway) 公用 IP 显示主 VPN 网关的 IP 地址。 PSK 预共享密钥 (Pre-Shared Key, PSK) 是在隧道中进行身份验证时使用的安全密钥。默认情况下,SD-WAN Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。 加密 (Encryption) 选择 AES-128 或 AES-256 作为数据加密的 AES 算法密钥大小。默认值为 AES-128。 DH 组 (DH Group) 从下拉菜单中选择“Diffie-Hellman (DH) 组”(Diffie-Hellman (DH) Group) 算法。此算法用于生成加密资料。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。默认值为 2。 PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为已停用 (deactivated)、2 和 5。默认值为 2。 身份验证算法 (Authentication Algorithm) 为 VPN 标头选择身份验证算法。从下拉菜单中选择支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
- SHA1
- SHA256
- SHA384
- SHA512
默认值为 SHA 1。
IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 SD-WAN Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长为 1440 分钟。默认值为 1440 分钟。 IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长为 480 分钟。默认值为 480 分钟。 DPD 类型 (DPD Type) 不活动对等体检测 (Dead Peer Detection, DPD) 方法用于检测 Internet 密钥交换 (IKE) 对等体是处于活动状态还是不活动状态。如果检测到对等体处于不活动状态,设备将删除 IPsec 和 IKE 安全关联。从下拉菜单中选择定期 (Periodic) 或按需 (onDemand)。默认值为按需 (onDemand)。 DPD 超时 (秒) (DPD Timeout(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。 在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。- 库名称:Quicksec
- 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
注: 在 5.1.0 版本之前,您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。但是,对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒)。冗余 VMware Cloud VPN 选中该复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密 (Encryption)、DH 组 (DH Group) 或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。 辅助 VPN 网关 (Secondary VPN Gateway) 单击添加 (Add) 按钮,然后输入辅助 VPN 网关的 IP 地址。单击保存更改 (Save Changes)。 将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
本地身份验证 ID 本地身份验证 ID 定义本地网关的格式和标识。从下拉菜单中,从以下类型中进行选择,然后输入一个值: - FQDN - 完全限定域名或主机名。例如:vmware.com
- 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如:[email protected]
- IPv4 - 用于与本地网关通信的 IP 地址。
- IPv6 - 用于与本地网关通信的 IP 地址。
注:- 如果未指定值,则将默认 (Default) 作为本地身份验证 ID。
- 默认本地身份验证 ID 值为 SD-WAN 网关接口公用 IP。
IKE/IPsec 示例 (Sample IKE / IPsec) 单击以查看配置非 SD-WAN 目标网关所需的信息。网关管理员应使用该信息配置网关 VPN 隧道。 位置 单击编辑 (Edit) 可为配置的非 SD-WAN 目标设置位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。 站点子网 使用切换按钮激活或停用站点子网 (Site Subnets)。单击添加 (Add) 可为非 SD-WAN 目标添加子网。如果您不需要使用站点的子网,请选择相应子网,然后单击删除 (Delete)。 注:- 要支持数据中心类型的非 SD-WAN 目标,除了 IPsec 连接以外,您还必须在 VMware 系统中配置非 SD-WAN 目标本地子网。
- 如果未配置站点子网,请停用站点子网 (Site Subnets) 以激活隧道。
注: 在 AWS 启动到 VMware SD-WAN 网关(在非 SD-WAN 目标中)的重新加密隧道时,可能会发生故障而不建立隧道,这可能会导致流量中断。在这种情况下,请遵循以下准则:- SD-WAN 网关的 IPsec SA 生命周期(分钟)定时器配置必须小于 60 分钟(建议值为 50 分钟),以便与 AWS 默认 IPsec 配置匹配。
- DH 组 (DH Group) 和 PFS 值必须匹配。
- 单击保存更改 (Save Changes)。