Tato část popisuje konfiguraci jinou než VMware SD-WAN Site typu brány AWS VPN.
O této úloze
Cíle jiné než SD-WAN prostřednictvím brány můžete konfigurovat pouze na úrovni profilu a nemohou být přepisovány na úrovni zařízení SD-WAN Edge.
Postup
- Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
Otevře se obrazovka Služby (Services).
- V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na tlačítko Nový (New).
Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím brány (New Non SD-WAN Destinations via Gateway).
- Do textového pole Název (Name) zadejte název lokality Cíl jiný než SD-WAN.
- Z rozevírací nabídky Typ (Type) vyberte Brána AWS VPN (AWS VPN Gateway).
- Zadejte IP adresu brány primární VPN a klikněte na tlačítko Další (Next).
Cíl jiný než SD-WAN typu brány AWS VPN je vytvořena a zobrazí se dialog pro vaši Cíl jiný než SD-WAN.
- Pokud budete chtít upravit nastavení tunelového propojení Cíl jiný než SD-WAN brány primární VPN, klikněte na tlačítko Rozšířené (Advanced).
- V oblasti Brána primární VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
Pole Popis (Description) Režim tunelu (Tunnel Mode) SD-WAN Gateway podporuje režim aktivní / aktivní Pohotovostní režim (Standby). Automaticky se zobrazí režim aktivní / aktivní Pohotovostní režim (Standby) indikující, že pokud aktivní tunel spadne, tunel v aktivním Pohotovostním režimu (Hot-Standby) převezme provoz a stane se aktivním tunelem. PSK Předsdílený klíč (PSK), což je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. SD-WAN Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole. Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Výchozí hodnota je AES 128. Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Doporučuje se používat skupinu DH 14. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2 a 5. Výchozí hodnota je Deaktivováno (Deactivated). Algoritmus autentizace (Authentication Algorithm) Algoritmus autentizace pro záhlaví VPN. Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Výchozí hodnota je SHA 1.
Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro SD-WAN Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximum je 1440 minut. Výchozí hodnota je 1 440 minut. Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximum je 480 minut. Výchozí hodnota je 480 minut. Typ DPD (DPD Type) Metoda detekce mrtvého zařízení druhé strany (DPD) se používá k detekci, zda je zařízení druhé strany IKE (Internet Key Exchange) v provozu, nebo mimo provoz. Pokud je zařízení druhé strany detekováno jako mimo provoz, zařízení odstraní přidružení zabezpečení IPsec a IKE. Ze seznamu vyberte možnost Periodicky (Periodic) nebo Na vyžádání (on Demand). Výchozí hodnota je na vyžádání. Časový limit DPD (s) (DPD Timeout(sec)) Maximální doba, po kterou má zařízení čekat na přijetí odpovědi na zprávu DPD, než bude zařízení druhé strany detekováno jako mimo provoz. Výchozí hodnota je 20 sekund. DPD lze deaktivovat nastavením časovače časového limitu DPD na 0 sekund. - Pokud chcete vytvořit sekundární bránu VPN pro tuto lokalitu, klikněte na tlačítko Přidat (Add) vedle objektu Sekundární brána VPN (Secondary VPN Gateway). Do vyskakovacího okna zadejte IP adresu sekundární brány VPN a klikněte na tlačítko Uložit změny (Save Changes).
Sekundární brána VPN bude pro tuto lokalitu okamžitě vytvořena a bude zřízeno tunelové propojení VMware VPN na tuto bránu.
- Zaškrtnutím pole Redundantní cloudová VPN pro VeloCloud (Redundant VeloCloud Cloud VPN) přidáte redundantní tunelová propojení pro každou bránu VPN. Jakékoli změny provedené v Šifrování (Encryption), skupině DH (DH Group) nebo PFS brány privátní VPN (PFS of Primary VPN Gateway) budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována.
- Po modifikaci nastavení tunelového propojení brány primární VPN uložte změny a poté kliknutím na možnost Zobrazit šablonu IKE/IPsec (View IKE/IPsec Template) zobrazíte aktualizovanou konfiguraci tunelového propojení.
- Kliknutím na odkaz Aktualizovat lokalitu (Update location), který se nachází v pravém horním rohu dialogového okna Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination Via Gateway), nastavíte umístění pro nakonfigurovanou lokalitu jinou než VMware SD-WAN Site. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších SD-WAN Edge a SD-WAN Gateway pro připojení do sítě.
- V oblasti Podsítě lokality (Site Subnets) můžete kliknutím na tlačítko + přidat podsítě pro lokalitu jinou než VMware SD-WAN Site. Pomocí funkce Vlastní zdrojové podsítě (Custom Source Subnets) přepíšete zdrojové podsítě směrované na toto zařízení VPN. Za normálních okolností jsou zdrojové podsítě odvozeny od podsítí LAN SD-WAN Edge směrovaných na toto zařízení.
Poznámka: Podsítě lokality je třeba deaktivovat, aby bylo možné aktivovat tunel, pokud nejsou nakonfigurovány žádné podsítě lokality.
- Pole Aktivovat tunel(y) (Enable Tunnel(s)) zaškrtněte ve chvíli, kdy budete připraveni spustit tunelové propojení mezi SD-WAN Gateway a bránami VPN AWS.
- Klikněte na tlačítko Uložit změny (Save Changes).
- Nově vytvořenou síťovou službu lokality jiné než SD-WAN přiřaďte k profilu Konfigurace > Profily (Configure > Profiles) v nástroji SD-WAN Orchestrator. Viz téma Konfigurace tunelového propojení mezi větví a cíli jinými než SD-WAN prostřednictvím brány.
- Vraťte se do oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) v nástroji SD-WAN Orchestrator přejitím do nabídky Konfigurace > Síťové služby (Configure > Network Services).
- V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) přejeďte na název lokality jiné než SD-WAN a poté klikněte na tlačítko Upravit (Edit) ve sloupci BGP.
- Protokol BGP nakonfigurujte na základě hodnot AWS u následujících povinných polí: Místní ASN (Local ASN), Typ tunelu (Tunnel Type), Sousední IP adresa (Neighbor IP) a Místní IP adresa (Local IP) (v části Rozšířené možnosti (Advanced Options)). POZNÁMKA: Typ tunelu je ve výchozím nastavení aktualizován. Pokud je třeba, prostudujte si dokumentaci k AWS. Další informace naleznete v tématu Konfigurace protokolu BGP přes IPsec z bran.
- Kliknutím na OK změny uložíte.
- V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na odkaz Upravit (Edit) ve sloupci BFD pro Cíl jiný než SD-WAN a nakonfigurujte nastavení BFD. Další informace naleznete v tématu Konfigurace BFD pro brány.
Co dělat dále (What to do next)
Celkový stav lokalit jiných než SD-WAN můžete zkontrolovat na kartě monitorování. Viz: