V této části najdete popis konfigurace lokality Cíl jiný než SD-WAN typu Obecná brána firewall (VPN na základě zásad) (Generic Firewall (Policy Based VPN)) v aplikaci SD-WAN Orchestrator.
Procedura
- Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
Otevře se obrazovka Služby (Services).
- V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na tlačítko Nový (New).
Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím brány (New Non SD-WAN Destinations via Gateway).
- Do textového pole Název (Name) zadejte název lokality Cíl jiný než SD-WAN.
- Z rozevírací nabídky Typ (Type) vyberte Obecná brána firewall (VPN na základě zásad) (Generic Firewall (Policy Based VPN)).
- Zadejte IP adresu brány primární VPN a klikněte na tlačítko Další (Next).
Cíl jiný než SD-WAN typu Obecná brána firewall (VPN na základě zásad) (Generic Firewall (Policy Based VPN)) je vytvořena a zobrazí se dialog pro vaši Cíl jiný než SD-WAN.
- Pokud budete chtít upravit nastavení tunelového propojení Cíl jiný než SD-WAN brány primární VPN, klikněte na tlačítko Rozšířené (Advanced).
- V oblasti Brána primární VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
Pole Popis PSK Předsdílený klíč (PSK), což je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole. Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Výchozí hodnota je AES 128. Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Doporučuje se používat skupinu DH 14. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2 a 5. Výchozí hodnota je deaktivováno (Deactivated). Poznámka: Sekundární brána VPN není pro typ síťové služby Obecná brána firewall (VPN na základě zásad) podporována. - Zaškrtnutím pole Redundantní VPN pro VeloCloud Cloud (Redundant VeloCloud Cloud VPN) přidáte redundantní tunelová propojení pro každou bránu VPN.
Jakékoli změny provedené v Šifrování (Encryption), skupině DH (DH Group) nebo PFS brány privátní VPN (PFS of Primary VPN Gateway) budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována. Po modifikaci nastavení tunelového propojení brány primární VPN uložte změny a poté kliknutím na možnost Zobrazit šablonu IKE/IPsec (View IKE/IPsec Template) zobrazíte aktualizovanou konfiguraci tunelového propojení.Poznámka: Momentálně je podporovaná verze IKE IKEv1.
- Kliknutím na odkaz Aktualizovat umístění (Update Location) nastavíte umístění pro nakonfigurovanou Cíl jiný než SD-WAN. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě.
- ID místního ověřování definuje formát a identifikaci místní brány. Z rozevírací nabídky ID lokální autentizace (Local Auth Id) vyberte následující typy a zadejte příslušné hodnoty:
- FQDN – plně kvalifikovaný název domény nebo hostitele. Například google.com.
- FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Například [email protected].
- IPv4 – IP adresa používaná pro komunikaci s místní bránou.
Poznámka:Pokud pro obecnou bránu firewall (VPN na základě zásad) uživatel nezadá hodnotu, bude jako ID místní autentizace (local authentication ID) použita hodnota Výchozí (Default). Výchozí hodnota ID místní autentizace bude místní IP adresa rozhraní Brána SD-WAN Gateway.
- V části Podsítě lokality (Site Subnets) můžete přidat podsítě pro Cíl jiný než SD-WAN kliknutím na tlačítko +. Jestliže pro danou lokalitu nepotřebujete podsítě, zvolte pole Deaktivovat podsítě lokality (Deactivate Site Subnets).
- Pomocí funkce Vlastní zdrojové podsítě (Custom Source Subnets) přepíšete zdrojové podsítě směrované na toto zařízení VPN. Za normálních okolností jsou zdrojové podsítě odvozeny od podsítí LAN Edge směrovaných na toto zařízení.
- Pole Aktivovat tunel(y) (Enable Tunnel(s)) zaškrtněte ve chvíli, kdy budete připraveni spustit tunelové propojení mezi Brána SD-WAN Gateway a obecnými bránami firewall VPN (VPN na základě zásad).
- Klikněte na tlačítko Uložit změny (Save Changes).