按以下步骤在 SASE Orchestrator 中配置 Cisco ISR 类型的非 SD-WAN 目标。
过程
- 创建 Cisco ISR 类型的非 SD-WAN 目标配置后,您将被重定向到其他配置选项页面:
- 您可以配置以下隧道设置:
选项 描述 常规 名称 (Name) 您可以编辑之前为 非 SD-WAN 目标 输入的名称。 类型 (Type) 类型显示为 Cisco ISR。您无法编辑此选项。 隧道模式 (Tunnel Mode) 活动/热备用 (Active/Hot-Standby) 模式支持最多设置 2 个隧道端点或网关。 活动/活动 (Active/Active) 模式支持最多设置 4 个隧道端点或网关。所有活动隧道都可以通过 ECMP 发送和接收流量。 ECMP 负载共享方法 基于流负载 (Flow Load Based)(默认):基于流负载的算法会将新流量映射到在目标可用路径中映射流量最少的路径。 基于哈希负载 (Hash Load Based) 算法从 5 元组(SrcIP、DestIP、SrcPort、DestPort、Protocol)获取输入参数。根据用户配置,这些输入可以是此元组的任意一项、全部或任意子集。流量将根据具有选定输入的哈希值映射到路径。 VPN 网关 1 输入有效的 IP 地址。 VPN 网关 2 输入有效的 IP 地址。此字段为可选字段。 VPN 网关 3 输入有效的 IP 地址。此字段为可选字段。 VPN 网关 4 输入有效的 IP 地址。此字段为可选字段。 公用 IP (Public IP) 显示主 VPN 网关的 IP 地址。 PSK 预共享密钥 (Pre-Shared Key, PSK) 是在隧道中进行身份验证时使用的安全密钥。默认情况下,SASE Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。 加密 (Encryption) 选择 AES-128 或 AES-256 作为数据加密的 AES 算法密钥大小。默认值为 AES-128。 DH 组 (DH Group) 从下拉菜单中选择“Diffie-Hellman (DH) 组”(Diffie-Hellman (DH) Group) 算法。此算法用于生成加密资料。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5 和 14。默认值为 2。 PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为已停用 (deactivated)、2 和 5。默认值为已停用 (deactivated)。 冗余 VMware Cloud VPN (Redundant VMware Cloud VPN) 选中该复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密 (Encryption)、DH 组 (DH Group) 或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。 辅助 VPN 网关 (Secondary VPN Gateway) 单击添加 (Add) 按钮,然后输入辅助 VPN 网关的 IP 地址。单击保存更改 (Save Changes)。 将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
IKE/IPsec 示例 (Sample IKE / IPsec) 单击以查看配置非 SD-WAN 目标网关所需的信息。网关管理员应使用该信息配置网关 VPN 隧道。 位置 (Location) 单击编辑 (Edit) 可为配置的非 SD-WAN 目标设置位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。 站点子网 (Site Subnets) 使用切换按钮激活或停用站点子网 (Site Subnets)。单击添加 (Add) 可为非 SD-WAN 目标添加子网。如果您不需要使用站点的子网,请选择相应子网,然后单击删除 (Delete)。 注: 要支持数据中心类型的 非 SD-WAN 目标,除了 IPsec 连接以外,您还必须在 VMware 系统中配置 非 SD-WAN 目标本地子网。注:对于 Cisco ISR 非 SD-WAN 目标,默认情况下,使用的本地身份验证 ID 值为 SD-WAN 网关 接口本地 IP。
- 单击保存更改 (Save Changes)。