V této části najdete popis konfigurace lokality Non VMware SD-WAN Site typu Obecný směrovač IKEv2 (VPN podle směrování) v aplikaci SD-WAN Orchestrator.

Poznámka: Chcete-li nakonfigurovat Obecný směrovač IKEv2 (VPN podle směrování) přes Edge, přečtěte si téma Konfigurace lokality jiné než VMware SD-WAN typu Obecný směrovač IKEv2 přes Edge.

Procedura

  1. Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
    Otevře se obrazovka Služby (Services).
  2. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na tlačítko Nový (New).
    Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím brány (New Non SD-WAN Destinations via Gateway).
  3. Do textového pole Název (Name) zadejte název lokality Non VMware SD-WAN Site.
  4. Z rozbalovací nabídky Typ (Type) vyberte možnost Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)).
  5. Zadejte IP adresu primární brány VPN (a je-li třeba, také sekundární brány VPN) a klikněte na možnost Další (Next).
    Lokalita Non VMware SD-WAN Site typu IKEv2 podle směrování je vytvořena a zobrazí se dialog pro vaši Non VMware SD-WAN Site.
  6. Pokud budete chtít upravit nastavení tunelového propojení Non VMware SD-WAN Site primární brány VPN, klikněte na tlačítko Rozšířené (Advanced).
  7. V oblasti Primární brána VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
    Pole Popis
    PSK Předsdílený klíč (PSK), což je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole.
    Šifrování (Encryption) Jako velikost klíče šifrování dat pro algoritmy AES vyberte buď AES 128 nebo AES 256. Výchozí hodnota je AES 128.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Doporučuje se používat DH skupinu 14.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2 a 5. Výchozí hodnota je 2.
    Algoritmus autentizace (Authentication Algorithm) Algoritmus autentizace pro záhlaví VPN. Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) ze seznamu:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Výchozí hodnota je SHA 1.

    Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximum je 1440 minut. Výchozí hodnota je 1440 minut.
    Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximum je 480 minut. Výchozí hodnota je 480 minut.
    Typ DPD (DPD Type) Metoda detekce mrtvého partnerského zařízení (DPD) se používá k detekci, zda je partnerské zařízení IKE (Internet Key Exchange) v provozu, nebo mimo provoz. Pokud je partnerské zařízení detekováno jako mimo provoz, zařízení odstraní přidružení zabezpečení IPsec a IKE. Ze seznamu vyberte možnost Periodicky (Periodic) nebo Na vyžádání (onDemand). Výchozí hodnota je Na vyžádání (onDemand).
    Časový limit DPD (s) (DPD Timeout(sec)) Maximální doba, po kterou má zařízení čekat na přijetí odpovědi na zprávu DPD, než bude partnerské zařízení detekováno jako mimo provoz. Výchozí hodnota je 20 sekund. DPD můžete deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund.
    Poznámka: Když AWS inicializuje tunel pro opětovné vytvoření klíčů s lokalitou VMware SD-WAN Gateway (v cílech jiných než SD-WAN), může dojít k selhání a tunel nebude vytvořen, což může způsobit přerušení provozu. Dodržujte následující:
    • Konfigurace časovače doby životnosti IPsec SA (min) pro SD-WAN Gateway musí být menší než 60 minut (doporučeno 50 minut), aby odpovídala výchozí konfiguraci IPsec AWS.
    • Skupiny DH a PFS DH si musí odpovídat.
  8. Pokud chcete vytvořit sekundární bránu VPN pro tuto lokalitu, klikněte na tlačítko Přidat (Add) vedle objektu Sekundární brána VPN (Secondary VPN Gateway). Do vyskakovacího okna zadejte IP adresu sekundární brány VPN a klikněte na tlačítko Uložit změny (Save Changes).

    Sekundární brána VPN bude pro tuto lokalitu okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware SD-WAN na tuto bránu.

  9. Zaškrtnutím pole Redundantní VPN pro VeloCloud Cloud (Redundant VeloCloud Cloud VPN) přidáte redundantní tunelová propojení pro každou bránu VPN.
    Jakékoli změny provedené v Šifrování (Encryption), skupině DH (DH Group) nebo PFS primární brány VPN (PFS of Primary VPN Gateway) budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována. Po úpravě nastavení tunelového propojení primární brány VPN uložte změny a poté kliknutím na možnost Zobrazit šablonu IKE/IPSec (View IKE/IPSec Template) zobrazíte aktualizovanou konfiguraci tunelového propojení.
  10. Kliknutím na odkaz Aktualizovat umístění (Update Location) nastavíte umístění pro nakonfigurovanou Non VMware SD-WAN Site. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě.
  11. ID místního ověřování definuje formát a identifikaci místní brány. Z rozevírací nabídky ID lokální autentizace (Local Auth Id) vyberte následující typy a zadejte příslušné hodnoty:
    • FQDN – plně kvalifikovaný název domény nebo hostitele. Například google.com.
    • FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Například user@google.com.
    • IPv4 – IP adresa používaná pro komunikaci s místní bránou.
    Poznámka:

    Pokud pro obecnou VPN podle směrování uživatel nezadá hodnotu, bude jako ID místní autentizace použita hodnota Výchozí (Default). Výchozí hodnota ID místní autentizace bude veřejná IP adresa rozhraní SD-WAN Gateway.

  12. V části Podsítě lokality (Site Subnets) můžete přidat podsítě pro Non VMware SD-WAN Site kliknutím na tlačítko +. Pokud pro lokalitu nepotřebujete podsítě, zaškrtněte pole Deaktivovat podsítě lokality (Disable Site Subnets).
  13. Pole Aktivovat tunel(y) (Enable Tunnel(s)) zaškrtněte ve chvíli, kdy budete připraveni spustit tunelové propojení mezi SD-WAN Gateway a obecnými bránami VPN IKEv2.
  14. Klikněte na tlačítko Uložit změny (Save Changes).