Edge 云 VPN 设置是从与 Edge 关联的配置文件中继承的,可以在 Edge 设备 (Device) 选项卡中检查这些设置。在 Edge 级别,您可以覆盖从配置文件中继承的分支到通过 Edge 的非 SD-WAN 目标设置,并配置隧道参数(WAN 链路选择和每隧道凭据)。
- 在企业门户中,转到 。
- 选择一个要覆盖非 SD-WAN 目标设置的 Edge,然后单击设备 (Device) 列下面的查看 (View) 链接。将显示选定 Edge 的“设备设置”(Device Setting) 页面。
- 转到 VPN 服务 (VPN Services) 区域,然后展开通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destination via Edge)。
- 选中覆盖 (Override) 复选框,以根据需要覆盖从配置文件继承的非 SD-WAN 目标设置。
注: 只能在关联的配置文件级别对 分支到通过网关的非 SD-WAN 目标 (Branch to Non SD-WAN Destination via Gateway) 设置进行任何配置更改。
- 在操作 (Action) 列下面,单击 + 以添加隧道。将显示添加隧道 (Add Tunnel) 弹出窗口。
- 输入以下详细信息以配置到非 SD-WAN 目标的隧道:
选项 描述 身份验证方法 选择 PSK 或证书 (Certificate) 作为身份验证方法。 注: 只有在系统属性session.options.enableNsdPkiIPv6Config
设置为 True 时,才能使用 证书 (Certificate) 身份验证模式。公用 WAN 链路 (Public WAN Link) 从下拉列表中选择一个 WAN 链路。 本地标识类型 (Local Identification Type) 从下拉菜单中选择任一本地身份验证类型: - FQDN - 完全限定域名或主机名。例如,vmware.com。
- 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,[email protected]。
- IPv4 - 用于与本地网关通信的 IP 地址。
- IPv6 - 用于与本地网关通信的 IP 地址。
注: 只有在系统属性
session.options.enableNsdPkiIPv6Config
设置为 True 时,才能使用 IPv6 本地标识类型。
注: 选择 身份验证方法 (Authentication Method) 作为 证书 (Certificate) 时, 本地标识类型 (Local Identification Type) 将显示为 DER_ASN1_DN。 本地标识类型 (Local Identification Type) 必须与本地证书主体名称匹配。本地标识 (Local Identification) 本地身份验证 ID 定义本地网关的格式和标识。对于选定的本地标识类型 (Local Identification Type),请输入一个有效的值。接受的值包括 IP 地址、用户 FQDN(电子邮件地址)和 FQDN(主机名或域名)。默认值为本地 IPv4 地址。 注: 在 Strongswan 中配置 本地标识 (Local Identification) 是可选操作。如果未配置,Strongswan 将使用证书中的值。PSK 在文本框中输入预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。 远程标识类型 仅当将身份验证方法 (Authentication Method) 选择为证书 (Certificate) 时,才会显示此字段。目前,仅支持 DER_ASN1_DN 类型。 远程标识 仅当将身份验证方法 (Authentication Method) 选择为证书 (Certificate) 时,才会显示此字段。远程身份验证 ID 定义远程网关的格式和标识。对于选定的远程标识类型 (Remote Identification Type),请输入一个有效的值。接受的值包括 IP 地址、用户 FQDN(电子邮件地址)和 FQDN(主机名或域名)。默认值为本地 IPv4 地址。 注: 在 Strongswan 中配置 远程标识 (Remote Identification) 是可选操作。如果未配置,Strongswan 将使用证书中的值。目标主公用 IP (Destination Primary Public IP) 输入目标主 VPN 网关的公用 IP 地址。 目标辅助公用 IP (Destination Secondary Public IP) 输入目标辅助 VPN 网关的公用 IP 地址。 - 单击保存 (Save)。