V této části najdete popis konfigurace lokality Cíl jiný než SD-WAN typu Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)) prostřednictvím Zařízení SD-WAN Edge v aplikaci SD-WAN Orchestrator.

Procedura

  1. Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
    Otevře se obrazovka Služby (Services).
  2. V oblasti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na tlačítko Nový (New).
    Zobrazí se dialogové okno Cíle jiné než SD-WAN prostřednictvím Edge(Non SD-WAN Destinations via Edge).
  3. Do textového pole Název služby (Service Name) zadejte název Cíl jiný než SD-WAN.
  4. Z rozbalovací nabídky Typ služby (Service Type) vyberte jako typ tunelu IPsec možnost Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)).
  5. Klikněte na tlačítko Další (Next).
    Lokalita Cíl jiný než SD-WAN typu IKEv2 podle směrování je vytvořena a zobrazí se dialog pro vaši Cíl jiný než SD-WAN.
  6. V nabídce Brána primární VPN (Primary VPN Gateway) zadejte do textového pole Veřejná IP (Public IP) IP adresu brány primární VPN (Primary VPN Gateway).
  7. Pokud budete chtít upravit nastavení tunelového propojení Cíl jiný než SD-WAN brány primární VPN, klikněte na tlačítko Rozšířené (Advanced).
  8. V oblasti Brána primární VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
    Pole Popis
    Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Pokud nechcete šifrovat data, zvolte možnost Null. Výchozí hodnota je AES 128.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5, 14, 15 a 16. Doporučuje se používat skupinu DH 14.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Výchozí hodnota je Deaktivováno (Deactivated).
    Hash Algoritmus autentizace pro záhlaví VPN. Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) ze seznamu:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Výchozí hodnota je SHA 256.

    Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1 440 minut. Výchozí hodnota je 1 440 minut.
    Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec jsou 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut.
    Časovač vypršení DPD (s) (DPD Timeout Timer(sec)) Zadejte hodnotu časového limitu DPD. Hodnota časového limitu DPD bude přidána do interního časovače DPD, jak je popsáno níže. Počkejte na odpověď zprávy DPD, než si budete jistí, že je zařízení druhé strany mimo provoz (Detekce zařízení mimo provoz druhé strany).
    Před verzí 5.1.0 je výchozí hodnota 20 sekund. Pro verzi 5.1.0 a novější naleznete výchozí hodnotu v níže uvedené nabídce.
    • Název knihovny: Quicksec
    • Interval sondy: Exponenciální (0,5 sekundy, 1 sekunda, 2 sekundy, 4 sekundy, 8 sekund, 16 sekund)
    • Výchozí minimální interval DPD: 47,5 s (Quicksec čeká 16 sekund po posledním opakování. Proto je hodnota 0,5+1+2+4+8+16+16 = 47,5).
    • Výchozí minimální interval DPD + časový limit DPD (s): 67,5 s
    Poznámka: Před vydáním 5.1.0 můžete DPD deaktivovat nastavením časovače časového limitu DPD na 0 sekund. Pro verzi 5.1.0 a novější nelze DPD deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund. Hodnota časového limitu DPD v sekundách se přidá k výchozí minimální hodnotě 47,5 sekund).
    Poznámka: Když AWS inicializuje tunel pro opětovné vytvoření klíčů s lokalitou Brána VMware SD-WAN Gateway (v cílech jiných než SD-WAN), může dojít k selhání a tunel nebude vytvořen, což může způsobit přerušení provozu. Dodržujte následující:
    • Konfigurace časovače doby životnosti IPsec SA (min) pro Brána SD-WAN Gateway musí být menší než 60 minut (doporučeno 50 minut), aby odpovídala výchozí konfiguraci IPsec AWS.
    • Skupiny DH a PFS DH si musí odpovídat.
  9. Pokud chcete vytvořit sekundární bránu VPN pro tuto lokalitu, zaškrtněte pole Sekundární brána VPN (Secondary VPN Gateway) a poté zadejte IP adresu sekundární brány VPN do textového pole Veřejná IP (Public IP).

    Sekundární brána VPN bude pro tuto lokalitu okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.

  10. Zaškrtnutím pole Zachovat aktivní tunel (Keep Tunnel Active) ponecháte sekundární tunel VPN aktivní pro tuto lokalitu.
  11. Zaškrtnutím pole Nastavení tunelového propojení jsou stejná jako u primární brány VPN (Tunnel settings are same as Primary VPN Gateway) použijte stejné nastavení tunelu jako u brány primární VPN (Primary VPN Gateway).
    Jakékoli změny nastavení tunelu provedené pro bránu primární VPN (Primary VPN Gateway) se použijí také pro tunely sekundární VPN (Secondary VPN), pokud jsou nakonfigurovány.
  12. V části Podsítě lokality (Site Subnets) můžete přidat podsítě pro Cíl jiný než SD-WAN kliknutím na tlačítko +.
    Poznámka: Pro podporu druhu datového centra typu Cíl jiný než SD-WAN budete kromě připojení IPsec muset nakonfigurovat místní podsítě Cíl jiný než SD-WAN v systému VMware.
  13. Klikněte na tlačítko Uložit změny (Save Changes).

Jak pokračovat dále