V této části najdete popis konfigurace lokality Non VMware SD-WAN Site typu Cisco ASA v aplikaci SD-WAN Orchestrator.

Procedura

  1. Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
    Otevře se obrazovka Služby (Services).
  2. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na tlačítko Nový (New).
    Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím brány (New Non SD-WAN Destinations via Gateway).
  3. Do textového pole Název (Name) zadejte název lokality Non VMware SD-WAN Site.
  4. Z rozevírací nabídky Typ (Type) vyberte Cisco ASA.
  5. Zadejte IP adresu primární brány VPN a klikněte na možnost Další (Next).
    Non VMware SD-WAN Site typu Cisco ASA je vytvořena a zobrazí se dialog pro vaši Non VMware SD-WAN Site.
    complementary-config-third-party-cisco-asa-site-dialog
  6. Pokud budete chtít upravit nastavení tunelového propojení Non VMware SD-WAN Site primární brány VPN, klikněte na tlačítko Rozšířené (Advanced).
  7. V oblasti Brána primární VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
    Pole Popis
    PSK Předsdílený klíč (PSK), což je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole.
    Šifrování (Encryption) Jako velikost klíče šifrování dat pro algoritmy AES vyberte buď AES 128 nebo AES 256. Výchozí hodnota je AES 128.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Doporučuje se používat DH skupinu 14.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2 a 5. Ve výchozí hodnotě je zakázána.
    Poznámka: Sekundární brána VPN není pro typ síťové služby Cisco ASA podporována.
    Poznámka:

    Pro Non VMware SD-WAN Site typu Cisco ASA je jako výchozí hodnota ID místní autentizace použita místní IP adresa rozhraní SD-WAN Gateway.

  8. Zaškrtnutím pole Redundantní VPN pro VeloCloud Cloud (Redundant VeloCloud Cloud VPN) přidáte redundantní tunelová propojení pro každou bránu VPN.
    Jakékoli změny provedené v Šifrování (Encryption), skupině DH (DH Group) nebo PFS brány primární VPN (PFS of Primary VPN Gateway) budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována. Po úpravě nastavení tunelového propojení primární brány VPN uložte změny a poté kliknutím na možnost Zobrazit šablonu IKE/IPsec (View IKE/IPsec Template) zobrazíte aktualizovanou konfiguraci tunelového propojení.
  9. Kliknutím na odkaz Aktualizovat umístění (Update Location) nastavíte umístění pro nakonfigurovanou Non VMware SD-WAN Site. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě.
  10. V části Podsítě lokality (Site Subnets) můžete přidat podsítě pro Non VMware SD-WAN Site kliknutím na tlačítko +.
  11. Pomocí funkce Vlastní zdrojové podsítě (Custom Source Subnets) přepíšete zdrojové podsítě směrované na toto zařízení VPN. Za normálních okolností jsou zdrojové podsítě odvozené od podsítí LAN Edge směrovaných na toto zařízení.
  12. Pole Aktivovat tunel(y) (Enable Tunnel(s)) zaškrtněte ve chvíli, kdy budete připraveni spustit tunelové propojení mezi SD-WAN Gateway a bránami VPN Cisco ASA.
  13. Klikněte na tlačítko Uložit změny (Save Changes).