V této části najdete popis konfigurace lokality Cíl mimo SD-WAN typu Cisco ISR v aplikaci SD-WAN Orchestrator.

Procedura

  1. Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
    Otevře se obrazovka Služby (Services).
  2. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na tlačítko Nový (New).
    Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím brány (New Non SD-WAN Destinations via Gateway).
  3. Do textového pole Název (Name) zadejte název lokality Cíl mimo SD-WAN.
  4. Z rozevírací nabídky Typ (Type) vyberte Cisco ISR.
  5. Zadejte IP adresu brány primární VPN a klikněte na možnost Další (Next).
    Cíl mimo SD-WAN typu Cisco ISR je vytvořena a zobrazí se dialog pro vaši Cíl mimo SD-WAN.
    complementary-config-third-party-site-dialog
  6. Pokud budete chtít upravit nastavení tunelového propojení Cíl mimo SD-WAN brány primární VPN, klikněte na tlačítko Rozšířené (Advanced).
  7. V oblasti Brána primární VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
    Pole Popis
    Režim tunelu (Tunnel Mode) SD-WAN Gateway podporuje režim aktivní / aktivní Standby. Automaticky se zobrazí režim aktivní / aktivní Standby indikující, že pokud aktivní tunel spadne, tunel v aktivním Standby (Hot-Standby) převezme provoz a stane se aktivním tunelem.
    PSK Předsdílený klíč (PSK), což je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole.
    Šifrování (Encryption) Jako velikost klíče šifrování dat pro algoritmy AES vyberte buď AES 128 nebo AES 256. Výchozí hodnota je AES 128.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Doporučuje se používat DH skupinu 14.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2 a 5. Výchozí hodnotou je default.
  8. Pokud chcete vytvořit sekundární bránu VPN pro tuto lokalitu, klikněte na tlačítko Přidat (Add) vedle objektu Sekundární brána VPN (Secondary VPN Gateway). Do vyskakovacího okna zadejte IP adresu sekundární brány VPN a klikněte na tlačítko Uložit změny (Save Changes).

    Sekundární brána VPN bude pro tuto lokalitu okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.

    Poznámka:

    Pro Cíl mimo SD-WAN typu Cisco ISR je jako výchozí hodnota ID místní autentizace použita místní IP adresa rozhraní Brána SD-WAN Gateway.

  9. Zaškrtnutím pole Redundantní VPN pro VeloCloud Cloud (Redundant VeloCloud Cloud VPN) přidáte redundantní tunelová propojení pro každou bránu VPN.
    Jakékoli změny provedené v Šifrování (Encryption), skupině DH (DH Group) nebo PFS brány primární VPN (PFS of Primary VPN Gateway) budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována. Po úpravě nastavení tunelového propojení brány primární VPN uložte změny a poté kliknutím na možnost Zobrazit šablonu IKE/IPsec (View IKE/IPsec Template) zobrazíte aktualizovanou konfiguraci tunelového propojení.
  10. Kliknutím na odkaz Aktualizovat umístění (Update Location) nastavíte umístění pro nakonfigurovanou Cíl mimo SD-WAN. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších SD-WAN Edge a SD-WAN Gateway pro připojení do sítě.
  11. V části Podsítě lokality (Site Subnets) můžete přidat podsítě pro Cíl mimo SD-WAN kliknutím na tlačítko +.
    Poznámka: Pro Cisco ISR je třeba podsítě lokality nakonfigurovat povinně.
  12. Pole Aktivovat tunel(y) (Enable Tunnel(s)) zaškrtněte ve chvíli, kdy budete připraveni spustit tunelové propojení mezi Brána SD-WAN Gateway a bránami VPN Cisco ISR.
  13. Klikněte na tlačítko Uložit změny (Save Changes).
  14. Nově vytvořenou síťovou službu lokality jiné než SD-WAN přiřaďte k profilu Konfigurace > Profily (Configure > Profiles) v nástroji SD-WAN Orchestrator. Viz téma Konfigurace tunelového propojení mezi větví a cíli jinými než SD-WAN prostřednictvím brány.
  15. Vraťte se do oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) v nástroji SD-WAN Orchestrator přejitím do nabídky Konfigurace > Síťové služby (Configure > Network Services).
  16. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) přejeďte na název lokality jiné než SD-WAN a poté klikněte na tlačítko Upravit (Edit) ve sloupci BGP.
  17. Protokol BGP nakonfigurujte na základě hodnot Cisco ISR následujících povinných polí: Místní ASN (Local ASN), Typ tunelu (Tunnel Type), IP adresa souseda (Neighbor IP) a Místní IP adresa (Local IP) (v části Rozšířené možnosti (Advanced Options)). Pokud je třeba, prostudujte si dokumentaci společnosti Cisco. Další informace naleznete v tématu Konfigurace protokolu BGP přes IPsec z bran.
    Poznámka: IP adresa VTI (privátní IP) přiřazená pomocí nástroje SD-WAN Orchestrator může být použita pro partnerství v BGP s jedním přeskokem.
  18. Kliknutím na tlačítko OK změny uložíte.
  19. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na odkaz Upravit (Edit) ve sloupci BFD pro Cíl mimo SD-WAN a nakonfigurujte nastavení BFD. Další informace naleznete v tématu Konfigurace BFD pro brány.

Jak pokračovat dále

Celkový stav lokalit jiných než SD-WAN můžete zkontrolovat na kartě monitorování. Viz: