Edge 云 VPN 设置是从与 Edge 关联的配置文件中继承的,可以在 Edge 设备 (Device) 选项卡中检查这些设置。在 Edge 级别,您可以覆盖从配置文件中继承的这些设置并配置隧道参数。

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > Edge (Edges)
  2. 选择一个要覆盖非 SD-WAN 目标设置的 Edge,然后单击设备 (Device) 列下的查看 (View) 链接。此时将显示选定 Edge 的设备 (Device) 设置页面。
  3. 转到 VPN 服务 (VPN Services) 区域,然后展开通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destination via Edge)
  4. 选中覆盖 (Override) 复选框,以根据需要覆盖从配置文件继承的非 SD-WAN 目标设置。
    注: 只能在关联的配置文件级别对 分支到通过网关的非 SD-WAN 目标 (Branch to Non SD-WAN Destination via Gateway) 设置进行任何配置更改。
  5. 操作 (Action) 列下面,单击 + 以添加隧道。将显示添加隧道 (Add Tunnel) 弹出窗口。
  6. 输入以下详细信息以配置到非 SD-WAN 目标的隧道:
    选项 描述
    身份验证方法 (Authentication Method) 选择 PSK证书 (Certificate) 作为身份验证方法。
    注: 只有在系统属性 session.options.enableNsdPkiIPv6Config 设置为 True 时,才能使用 证书 (Certificate) 身份验证模式。
    公用 WAN 链路 (Public WAN Link) 从下拉列表中选择一个 WAN 链路。
    本地标识类型 (Local Identification Type) 从下拉菜单中选择任一本地身份验证类型:
    • FQDN - 完全限定域名或主机名。例如,vmware.com。
    • 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,[email protected]
    • IPv4 - 用于与本地网关通信的 IP 地址。
    • IPv6 - 用于与本地网关通信的 IP 地址。
    注:
    • 仅当将身份验证模式 (Authentication Mode) 选择为 PSK 时,这些值才可用。
    • 身份验证模式 (Authentication Mode)证书 (Certificate) 时,IPv6 本地标识类型显示的值为 DER_ASN1_DN。此外,仅当系统属性 session.options.enableNsdPkiIPv6Config 设置为 True 时,IPv6 才可用。
    本地标识 (Local Identification) 本地身份验证 ID 定义本地网关的格式和标识。对于选定的本地标识类型 (Local Identification Type),请输入一个有效的值。接受的值包括 IP 地址、用户 FQDN(电子邮件地址)和 FQDN(主机名或域名)。默认值为本地 IPv4 或 IPv6 地址。
    注: 在 Strongswan 中配置 本地标识 (Local Identification) 是可选操作。如果未配置,Strongswan 将使用证书中的值。
    PSK 在文本框中输入预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。
    远程标识类型 (Remote Identification Type) 仅当将身份验证方法 (Authentication Method) 选择为证书 (Certificate) 时,才会显示此字段。目前,仅支持 DER_ASN1_DN 类型。
    远程标识 (Remote Identification) 仅当将身份验证方法 (Authentication Method) 选择为证书 (Certificate) 时,才会显示此字段。远程身份验证 ID 定义远程网关的格式和标识。对于选定的远程标识类型 (Remote Identification Type),请输入一个有效的值。接受的值包括 IP 地址、用户 FQDN(电子邮件地址)和 FQDN(主机名或域名)。默认值为本地 IPv4 或 IPv6 地址。
    注: 在 Strongswan 中配置 远程标识 (Remote Identification) 是可选操作。如果未配置,Strongswan 将使用证书中的值。
    目标主公用 IP (Destination Primary Public IP) 输入目标主 VPN 网关的公用 IP 地址。
    目标辅助公用 IP (Destination Secondary Public IP) 输入目标辅助 VPN 网关的公用 IP 地址。
    注:
    • 身份验证方法 (Authentication Method) 选择为证书 (Certificate) 时,默认情况下,本地标识类型 (Local Identification Type)远程标识类型 (Remote Identification Type) 显示的值为 DER_ASN1_DN
    • 必须以 DER_ASN1_DN 格式配置本地标识 (Local Identification)远程标识 (Remote Identification) 字段。将保留 FQDN用户 FQDN (User FQDN)IPv4IPv6 的值以供将来使用。
  7. 单击保存 (Save) 以保存更改。