按以下步骤在 SASE Orchestrator 中配置通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 类型的非 SD-WAN 目标。
过程
- 在创建通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 类型的非 SD-WAN 目标配置后,您将被重定向到其他配置选项页面:
- 您可以配置以下隧道设置:
选项 描述 常规 名称 (Name) 您可以编辑之前为 非 SD-WAN 目标 输入的名称。 类型 (Type) 类型显示为通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN))。您无法编辑此选项。 启用隧道 (Enable Tunnel(s)) 单击切换按钮以启动从 SD-WAN 网关到通用 IKEv2 路由器 VPN 网关的隧道。 隧道模式 (Tunnel Mode) 活动/热备用 (Active/Hot-Standby) 模式支持最多设置 2 个隧道端点或网关。 活动/活动 (Active/Active) 模式支持最多设置 4 个隧道端点或网关。所有活动隧道都可以通过 ECMP 发送和接收流量。 ECMP 负载共享方法 基于流负载 (Flow Load Based)(默认):基于流负载的算法会将新流量映射到在目标可用路径中映射流量最少的路径。 基于哈希负载 (Hash Load Based) 算法从 5 元组(SrcIP、DestIP、SrcPort、DestPort、Protocol)获取输入参数。根据用户配置,这些输入可以是此元组的任意一项、全部或任意子集。流量将根据具有选定输入的哈希值映射到路径。 VPN 网关 1 输入有效的 IP 地址。 VPN 网关 2 输入有效的 IP 地址。此字段为可选字段。 VPN 网关 3 输入有效的 IP 地址。此字段为可选字段。 VPN 网关 4 输入有效的 IP 地址。此字段为可选字段。 公用 IP (Public IP) 显示主 VPN 网关的 IP 地址。 PSK 预共享密钥 (Pre-Shared Key, PSK) 是在隧道中进行身份验证时使用的安全密钥。默认情况下,SASE Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。 加密 (Encryption) 选择 AES-128 或 AES-256 作为数据加密的 AES 算法密钥大小。默认值为 AES-128。 DH 组 (DH Group) 从下拉菜单中选择“Diffie-Hellman (DH) 组”(Diffie-Hellman (DH) Group) 算法。此算法用于生成加密资料。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。默认值为 2。 PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为已停用 (deactivated)、2 和 5。默认值为 2。 身份验证算法 (Authentication Algorithm) 为 VPN 标头选择身份验证算法。从下拉菜单中选择支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
- SHA1
- SHA256
- SHA384
- SHA512
默认值为 SHA 1。
IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 SD-WAN Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长为 1440 分钟。默认值为 1440 分钟。 IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长为 480 分钟。默认值为 480 分钟。 DPD 类型 (DPD Type) 不活动对等体检测 (Dead Peer Detection, DPD) 方法用于检测 Internet 密钥交换 (IKE) 对等体是处于活动状态还是不活动状态。如果检测到对等体处于不活动状态,设备将删除 IPsec 和 IKE 安全关联。从下拉菜单中选择定期 (Periodic) 或按需 (onDemand)。默认值为按需 (onDemand)。 DPD 超时 (秒) (DPD Timeout(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。 在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。- 库名称:Quicksec
- 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
注: 在 5.1.0 版本之前,您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。但是,对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒)。冗余 VMware Cloud VPN (Redundant VMware Cloud VPN) 选中该复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密 (Encryption)、DH 组 (DH Group) 或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。 辅助 VPN 网关 (Secondary VPN Gateway) 单击添加 (Add) 按钮,然后输入辅助 VPN 网关的 IP 地址。单击保存更改 (Save Changes)。 将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
本地身份验证 ID (Local Auth Id) 本地身份验证 ID 定义本地网关的格式和标识。从下拉菜单中,从以下类型中进行选择,然后输入一个值: - FQDN - 完全限定域名或主机名。例如:vmware.com
- 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如:[email protected]
- IPv4 - 用于与本地网关通信的 IP 地址。
- IPv6 - 用于与本地网关通信的 IP 地址。
注:- 如果未指定值,则将默认 (Default) 作为本地身份验证 ID。
- 默认本地身份验证 ID 值为 SD-WAN 网关接口公用 IP。
IKE/IPsec 示例 (Sample IKE / IPsec) 单击以查看配置非 SD-WAN 目标网关所需的信息。网关管理员应使用该信息配置网关 VPN 隧道。 位置 (Location) 单击编辑 (Edit) 可为配置的非 SD-WAN 目标设置位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。 站点子网 (Site Subnets) 使用切换按钮激活或停用站点子网 (Site Subnets)。单击添加 (Add) 可为非 SD-WAN 目标添加子网。如果您不需要使用站点的子网,请选择相应子网,然后单击删除 (Delete)。 注:- 要支持数据中心类型的非 SD-WAN 目标,除了 IPsec 连接以外,您还必须在 VMware 系统中配置非 SD-WAN 目标本地子网。
- 如果未配置站点子网,请停用站点子网 (Site Subnets) 以激活隧道。
注: 在 AWS 启动到 VMware SD-WAN 网关(在非 SD-WAN 目标中)的重新加密隧道时,可能会发生故障而不建立隧道,这可能会导致流量中断。在这种情况下,请遵循以下准则:- SD-WAN 网关的 IPsec SA 生命周期(分钟)定时器配置必须小于 60 分钟(建议值为 50 分钟),以便与 AWS 默认 IPsec 配置匹配。
- DH 组 (DH Group) 和 PFS 值必须匹配。
- 单击保存更改 (Save Changes)。