本主题介绍如何在 SASE Orchestrator 中配置通用 IKEv1 路由器 (基于路由的 VPN) (Generic IKEv1 Router (Route Based VPN)) 类型的通过 SD-WAN Edge 的非 SD-WAN 目标。
过程
- 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 网络服务 (Network Services)。
此时将显示 网络服务 (Network Services) 屏幕。
- 在通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 区域中,单击新建 (New) 按钮。
此时将显示 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 对话框。
- 在服务名称 (Service Name) 文本框中,输入 非 SD-WAN 目标 的名称。
- 从服务类型 (Service Type) 下拉菜单中,选择通用 IKEv1 路由器 (基于路由的 VPN) (Generic IKEv1 Router (Route Based VPN)) 以作为 IPsec 隧道类型。
- 单击 IKE/IPSec 设置 (IKE/IPSec Settings) 选项卡,并配置以下参数:
选项 描述 IP 版本 (IP Version) 从下拉菜单中选择当前非 SD-WAN 目标的 IP 版本(“IPv4”或“IPv6”)。 主 VPN 网关 (Primary VPN Gateway) 公用 IP (Public IP) 输入有效的 IPv4 或 IPv6 地址。该字段为必填项。 查看 IKE 建议的高级设置:展开此选项可查看以下字段。 加密 (Encryption) 从下拉列表中选择 AES 算法密钥大小以加密数据。可用选项包括 AES 128、AES 256、AES 128 GCM、AES 256 GCM 和 自动 (Auto)。默认值为 AES 128。 DH 组 (DH Group) 从下拉列表中选择“Diffie-Hellman (DH) 组”(Diffie-Hellman (DH) Group) 算法。此算法用于生成加密资料。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15、16、19、20 和 21。默认值为 14。 哈希 (Hash) 从下拉列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一: - SHA 1
- SHA 256
- SHA 384
注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
- SHA 512
注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
- 自动
默认值为 SHA 256。
IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 输入为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长为 1440 分钟。默认值为 1440 分钟。 注: 必须在 75-80% 的生命周期过期之前启动重新加密。DPD 超时 (秒) (DPD Timeout(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。 在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。- 库名称:Quicksec
- 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
注: 对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒。查看 IPsec 建议的高级设置:展开此选项可查看以下字段。 加密 (Encryption) 从下拉列表中选择 AES 算法密钥大小以加密数据。可用选项包括无 (None)、AES 128 和 AES 256。默认值为 AES 128。 PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15、16、19、20 和 21。默认值为 14。 哈希 (Hash) 从下拉列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一: - SHA 1
- SHA 256
- SHA 384
注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
- SHA 512
注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
默认值为 SHA 256。
IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 输入为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长为 480 分钟。默认值为 480 分钟。 注: 必须在 75-80% 的生命周期过期之前启动重新加密。辅助 VPN 网关 (Secondary VPN Gateway) 添加 (Add) - 单击此选项可添加辅助 VPN 网关。将显示以下字段。 公用 IP (Public IP) 输入有效的 IPv4 或 IPv6 地址。 移除 (Remove) 删除辅助 VPN 网关。 保持隧道处于活动状态 (Keep Tunnel Active) 选中该复选框可将该站点的辅助 VPN 隧道保持处于活动状态。 隧道设置与主 VPN 网关相同 (Tunnel settings are the same as Primary VPN Gateway) 如果要将相同的高级设置应用于主网关和辅助网关,请选中该复选框。您可以选择手动输入辅助 VPN 网关的设置。 注: 在 AWS 启动到 VMware SD-WAN 网关(在非 SD-WAN 目标中)的重新加密隧道时,可能会发生故障而不建立隧道,这可能会导致流量中断。请遵循以下准则:- SD-WAN 网关 的 IPsec SA 生命周期(分钟)定时器配置必须小于 60 分钟(建议为 50 分钟),以便与 AWS 默认 IPsec 配置匹配。
- DH 组 (DH Group) 和 PFS 值必须匹配。
此时将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
- 单击站点子网 (Site Subnets) 选项卡,并配置以下选项:
选项 描述 添加 (Add) 单击此选项可为非 SD-WAN 目标添加子网和描述。 删除 (Delete) 单击此选项可删除选定的子网。 注: 要支持数据中心类型的 非 SD-WAN 目标,除了 IPSec 连接以外,您还必须在 VMware 系统中配置 非 SD-WAN 目标本地子网。 - 单击保存 (Save)。