介绍如何在 SD-WAN Orchestrator 中配置通过 SD-WAN Edge通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 类型的 非 SD-WAN 目标

过程

  1. SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)
    将显示 服务 (Services) 屏幕。
  2. 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 区域中,单击新建 (New) 按钮。
    将显示 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 对话框。
  3. 服务名称 (Service Name) 文本框中,输入 非 SD-WAN 目标 的名称。
  4. 服务类型 (Service Type) 下拉菜单中,选择通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 以作为 IPsec 隧道类型。
  5. 单击下一步 (Next)
    将创建 IKEv2 类型的基于路由的 非 SD-WAN 目标,并显示 非 SD-WAN 目标 的对话框。
  6. 主 VPN 网关 (Primary VPN Gateway) 下面的公用 IP (Public IP) 文本框中,输入主 VPN 网关的 IP 地址。
  7. 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
  8. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
    字段 描述
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。如果不希望对数据进行加密,请选择空 (Null)。默认值为 AES 128。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认值为“已停用”(Deactivated)。
    哈希 (Hash) VPN 标头的身份验证算法。从列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    默认值为 SHA 256。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长为 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长为 480 分钟。默认值为 480 分钟。
    DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。
    在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。
    • 库名称:Quicksec
    • 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
    • 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
    • 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
    注: 在 5.1.0 版本之前,您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。但是,对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒)。
    注: 在 AWS 启动到 VMware SD-WAN 网关(在非 SD-WAN 目标中)的重新加密隧道时,可能会发生故障而不建立隧道,这可能会导致流量中断。请遵循以下准则:
    • SD-WAN 网关 的 IPsec SA 生命周期(分钟)定时器配置必须小于 60 分钟(建议为 50 分钟),以便与 AWS 默认 IPsec 配置匹配。
    • DH 和 PFS DH 组必须匹配。
  9. 如果要为该站点创建辅助 VPN 网关,请选中辅助 VPN 网关 (Secondary VPN Gateway) 复选框,然后在公用 IP (Public IP) 文本框中输入辅助 VPN 网关的 IP 地址。

    将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。

  10. 选中保持隧道处于活动状态 (Keep Tunnel Active) 复选框,以将该站点的辅助 VPN 隧道保持活动状态。
  11. 选中隧道设置与主 VPN 网关相同 (Tunnel settings are same as Primary VPN Gateway) 复选框,以应用与主 VPN 网关相同的隧道设置。
    对主 VPN 网关所做的任何隧道设置更改也会应用于辅助 VPN 隧道(如果已配置)。
  12. 站点子网 (Site Subnets) 下面,您可以单击 + 按钮以添加 非 SD-WAN 目标 的子网。
    注: 要支持 非 SD-WAN 目标类型的数据中心,除了 IPsec 连接以外,您还需要在 VMware 系统中配置 非 SD-WAN 目标本地子网。
  13. 单击保存更改 (Save Changes)

下一步做什么