介绍了如何配置 AWS VPN 网关类型的非 VMware SD-WAN 站点。

关于此任务

您只能在配置文件级别配置通过网关的非 SD-WAN 目标,而不能在 SD-WAN Edge 级别覆盖这些目标。

过程

  1. SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)

    将显示服务 (Services) 屏幕。

  2. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击新建 (New) 按钮。

    将显示新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。

  3. 名称 (Name) 文本框中,输入 非 SD-WAN 目标 的名称。
  4. 类型 (Type) 下拉菜单中,选择AWS VPN 网关 (AWS VPN Gateway)

  5. 输入主 VPN 网关的 IP 地址,然后单击下一步 (Next)

    将创建 AWS VPN 网关类型的非 SD-WAN 目标,并显示非 SD-WAN 目标的对话框。

  6. 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。

  7. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
    字段 描述
    隧道模式 (Tunnel Mode) 在 SD-WAN 网关上支持活动-热备用。将自动显示活动/热备用,以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。
    PSK 预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。默认情况下,SD-WAN Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。默认值为 AES 128。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。建议使用 DH 组 14。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2 和 5。默认值为“已停用”(Deactivated)。
    身份验证算法 (Authentication Algorithm) VPN 标头的身份验证算法。从下拉菜单列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    默认值为 SHA 1。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 SD-WAN Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长为 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长为 480 分钟。默认值为 480 分钟。
    DPD 类型 (DPD Type) 不活动对等体检测 (Dead Peer Detection, DPD) 方法用于检测 Internet 密钥交换 (IKE) 对等体是处于活动状态还是不活动状态。如果检测到对等体处于不活动状态,设备将删除 IPsec 和 IKE 安全关联。从列表中选择“定期”(Periodic) 或“按需”(on Demand)。默认值为“按需”(on Demand)。
    DPD 超时 (秒) (DPD Timeout(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。
    在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。
    • 库名称:Quicksec
    • 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
    • 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
    • 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
    注: 在 5.1.0 版本之前,您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。但是,对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒)。
  8. 要为该站点创建辅助 VPN 网关,请单击辅助 VPN 网关 (Secondary VPN Gateway) 旁边的添加 (Add) 按钮。在弹出窗口中,输入辅助 VPN 网关的 IP 地址,然后单击保存更改 (Save Changes)

    将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。

  9. 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密、DH 组或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。
  10. 在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击查看 IKE/IPsec 模板 (View IKE/IPsec Template) 以查看更新的隧道配置。

  11. 单击位于通过网关的非 SD-WAN 目标 (Non SD-WAN Destination Via Gateway) 对话框右上角的更新位置 (Update location) 链接,以设置配置的非 VMware SD-WAN 站点的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 SD-WAN Edge 或 SD-WAN 网关。
  12. 站点子网 (Site Subnets) 区域下面,您可以单击 + 按钮以添加非 VMware SD-WAN 站点的子网。可以使用“自定义源子网”(Custom Source Subnets) 以覆盖路由到该 VPN 设备的源子网。通常,源子网是从路由到该设备的 SD-WAN Edge LAN 子网派生的。
    注: 如果未配置站点子网,应停用站点子网以启用隧道。
  13. 在准备好启动从 SD-WAN 网关到 AWS VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
  14. 单击保存更改 (Save Changes)
  15. 导航到 SD-WAN Orchestrator 中的配置 (Configure) > 配置文件 (Profiles),以将新创建的非 SD-WAN 站点网络服务分配给一个配置文件。请参阅配置分支和通过网关的非 SD-WAN 目标之间的隧道
  16. 在 SD-WAN Orchestrator 中转到配置 (Configure) > 网络服务 (Network Services) 以返回到通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域。
  17. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,滚动到您的非 SD-WAN 站点的名称,然后单击 BGP 列中的编辑 (Edit) 链接。
  18. 为以下必填字段配置基于 AWS 的 BGP 值:本地 ASN (Local ASN)、隧道类型 (Tunnel Type)、邻居 IP (Neighbor IP) 和本地 IP (Local IP)(在“高级选项”(Advanced Options) 部分中)。注意:默认情况下,将更新隧道类型。如果需要,请参阅 AWS 文档。有关更多信息,请参阅在来自网关的 IPsec 上配置 BGP
  19. 单击确定 (OK) 按钮以保存所做的更改。
  20. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击某个 非 SD-WAN 目标 对应的 BFD 列中的编辑 (Edit) 链接,以配置 BFD 设置。有关更多信息,请参阅为网关配置 BFD

后续操作

您可以在“监控”(Monitoring) 选项卡中查看非 SD-WAN 站点的总体状态。请参阅: