VMware 允许企业用户定义和配置非 SD-WAN 目标实例,以直接建立从 SD-WAN Edge非 SD-WAN 目标的安全 IPSec v4 和 v6 隧道。本节还允许您配置云安全服务。

过程

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 网络服务 (Network Services),然后在非 SD-WAN 目标 (Non SD-WAN Destinations) 下,展开通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge)
    1. 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 区域中,单击新建 (New)新建通过 Edge 的 NSD (New NSD via Edge) 选项,以创建新的非 SD-WAN 目标。
      注: 仅当表中没有项目时,才会显示 新建通过 Edge 的 NSD (New NSD via Edge) 选项。
    2. 可使用以下配置选项:
      注: 要支持数据中心类型的 非 SD-WAN 目标,除了 IKE/IPSec 设置以外,您还必须在 VMware 系统中配置 非 SD-WAN 目标本地子网。
      选项 描述
      常规 (General)
      服务名称 (Service Name) 输入 非 SD-WAN 目标 的名称。该字段为必填项。
      服务类型 (Service Type) 从下拉菜单中选择服务类型。可用选项包括通用 IKEv1 路由器 (基于路由的 VPN) (Generic IKEv1 Router (Route Based VPN))通用 IKEv2 路由器 (基于路由的 VPN)(Generic IKEv2 Router (Route Based VPN))Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan)。该字段为必填项。
      隧道模式 (Tunnel mode) 从下拉菜单中选择一个隧道模式。可用选项包括活动/活动 (Active/Active)活动/热备用 (Active/Hot-Standby)活动/备用 (Active/Standby)
      IKE/IPSec 设置 (IKE/IPSec Settings)
      IP 版本 (IP Version) 从下拉菜单中选择当前非 SD-WAN 目标的 IP 版本(IPv4 或 IPv6)。
      主 VPN 网关 (Primary VPN Gateway)
      公用 IP (Public IP) 输入有效的 IPv4 或 IPv6 地址。该字段为必填项。
      查看 IKE 建议的高级设置:展开此选项可查看以下字段。
      加密 (Encryption) 从下拉列表中选择 AES 算法密钥大小以加密数据。可用选项包括 AES 128AES 256AES 128 GCMAES 256 GCM自动 (Auto)。默认值为 AES 128
      DH 组 (DH Group) 从下拉列表中选择“Diffie-Hellman (DH) 组”(Diffie-Hellman (DH) Group) 算法。此算法用于生成加密资料。DH 组设置算法强度(以位为单位)。支持的 DH 组为 25141516192021。默认值为 14
      哈希 (Hash) 从下拉列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
      • SHA 1
      • SHA 256
      • SHA 384
        注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
      • SHA 512
        注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
      • 自动 (Auto)

      默认值为 SHA 256

      IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 输入为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长为 1440 分钟。默认值为 1440 分钟。
      注: 必须在 75-80% 的生命周期过期之前启动重新加密。
      DPD 超时 (秒) (DPD Timeout(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。
      在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。
      • 库名称:Quicksec
      • 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
      • 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
      • 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
      注: 对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒。
      查看 IPsec 建议的高级设置:展开此选项可查看以下字段。
      加密 (Encryption) 从下拉列表中选择 AES 算法密钥大小以加密数据。可用选项包括无 (None)AES 128AES 256。默认值为 AES 128
      PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 25141516192021。默认值为 14
      哈希 (Hash) 从下拉列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
      • SHA 1
      • SHA 256
      • SHA 384
        注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。
      • SHA 512
        注: 该值不适用于 Microsoft Azure 虚拟 WAN (Microsoft Azure Virtual Wan) 服务类型。

      默认值为 SHA 256

      IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 输入为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长为 480 分钟。默认值为 480 分钟。
      注: 必须在 75-80% 的生命周期过期之前启动重新加密。
      辅助 VPN 网关 (Secondary VPN Gateway)
      添加 (Add) - 单击此选项可添加辅助 VPN 网关。将显示以下字段。
      公用 IP (Public IP) 输入有效的 IPv4 或 IPv6 地址。
      移除 (Remove) 删除辅助 VPN 网关。
      隧道设置与主 VPN 网关相同 (Tunnel settings are the same as Primary VPN Gateway) 如果要将相同的设置用于主网关和辅助网关,请选中该复选框。您可以选择手动输入辅助 VPN 网关的设置。
      站点子网 (Site Subnets)
      添加 (Add) 单击此选项可为非 SD-WAN 目标添加子网和描述。
      删除 (Delete) 单击此选项可删除选定的子网。
    3. 单击保存 (Save)
  2. 云安全服务 (Cloud Security Service) 区域中,单击新建 (New)
  3. 新建云安全服务 (New Cloud Security Service) 窗口中,从下拉菜单中选择一种服务类型。VMware 支持以下 CSS 类型:
    • 通用云安全服务 (Generic Cloud Security Service)
    • Symantec / Palo Alto 云安全服务 (Symantec / Palo Alto Cloud Security Service)
    • Zscaler 云安全服务 (Zscaler Cloud Security Service)
    1. 如果选择了“通用”(Generic) 或“Symantec / Palo Alto”云安全服务作为服务类型 (Service Type),请配置以下字段,然后单击保存更改 (Save Changes)
      选项 描述
      服务名称 (Service Name) 为云安全服务输入描述性名称。
      主接入点/服务器 (Primary Point-of-Presence/Server) 输入主服务器的 IP 地址或主机名。
      辅助接入点/服务器 (Secondary Point-of-Presence/Server) 输入辅助服务器的 IP 地址或主机名。此字段为可选字段。
    2. 如果选择了 Zscaler 云安全服务 (Zscaler Cloud Security Service) 作为服务类型 (Service Type),请配置以下字段,然后单击保存更改 (Save Changes)
      选项 描述
      服务名称 (Service Name) 为云安全服务输入描述性名称。
      自动部署云服务 (Automate Cloud Service Deployment) 选中该复选框以选择自动化部署。
      用于登录 Zscaler 的 URL (URL for logging in to Zscaler) 您可以从下拉列表中选择使用现有的 Zscaler URL,也可以输入一个新 URL。
      主服务器 (Primary Server) 输入主服务器的 IP 地址或主机名。
      辅助服务器 (Secondary Server) 输入辅助服务器的 IP 地址或主机名。此字段为可选字段。
      L7 运行状况检查 (L7 Health Check) 选中该复选框以监控 Zscaler 服务器的运行状况。
      注: 对于给定的 Edge/配置文件,用户无法覆盖在网络服务中配置的 L7 运行状况检查参数。
      HTTP 探测间隔 (HTTP Probe Interval) 显示各个 HTTP 探测之间的间隔持续时间。默认探测间隔为 5 秒。
      重试次数 (Number of Retries) 选择在将云服务标记为“关闭”(DOWN) 之前允许的重试次数。默认值为 3
      RTT 阈值 (RTT Threshold) 用于计算云服务状态的往返时间 (Round Trip Time, RTT) 阈值(以毫秒为单位)。如果测量的 RTT 高于配置的阈值,则将云服务标记为“关闭”。默认值为 3000 毫秒。
      Zscaler 登录 URL (Zscaler Login URL) 输入登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。
      注: 仅当输入 Zscaler 登录 URL 时,才会激活 登录 Zscaler (Login to Zscaler) 链接。
      注: 有关更多信息,请参阅 云安全服务
  4. 以下是通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 部分下提供的其他选项:
    选项 描述
    删除 (Delete) 选择一个项目,然后单击此选项可将其删除。
    列 (Columns) 单击并选择要在页面上显示或隐藏的列。
    注: 单击表顶部的信息图标可查看概念图,将鼠标悬停在该图表上可了解更多详细信息。

下一步做什么