VMware umožňuje podnikovým uživatelům definovat a konfigurovat instanci Cíl jiný než SD-WAN a vytvořit bezpečné tunelové propojení IPsec přímo z Zařízení SD-WAN Edge do Cíl jiný než SD-WAN. V této části také můžete nakonfigurovat služby pro zabezpečení cloudu.
Procedura
- Na podnikovém portálu přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services) a poté v oblasti Cíle jiné než SD-WAN (Non SD-WAN Destinations) rozbalte Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge).
- V oblasti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na možnost Nový (New) nebo Nové NSD prostřednictvím Edge (New NSD via Edge) a vytvořte nový cíl jiný než SD-WAN.
Poznámka: Možnost Nové NSD prostřednictvím Edge (New NSD via Edge) se zobrazí pouze v případě, že v tabulce nejsou žádné položky.
- K dispozici jsou následující možnosti konfigurace:
Možnost Popis Obecné (General) Název služby (Service Name) Zadejte název Cíl jiný než SD-WAN. Toto pole je povinné. Typ služby (Service Type) Z rozevírací nabídky vyberte typ služby. Dostupné možnosti jsou Obecný směrovač IKEv1 (VPN podle směrování) (Generic IKEv1 Router (Route Based VPN)), Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)) a Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan). Toto pole je povinné. Režim tunelu (Tunnel mode) Z rozevírací nabídky vyberte režim tunelu. Dostupné možnosti jsou Aktivní/aktivní (Active/Active), Aktivní / aktivní pohotovostní režim (Active/Hot-Standby) a Aktivní / pohotovostní režim (Active/Standby). Nastavení protokolu IKE/IPsec (IKE/IPSec Settings) Verze IP (IP Version) Zobrazuje verzi IP aktuální Cíl jiný než SD-WAN. Primární brána VPN (Primary VPN Gateway) Veřejná IP (Public IP) Zadejte platnou adresu IPv4 nebo IPv6. Toto pole je povinné. Zobrazit rozšířená nastavení pro návrh IKE (View advanced settings for IKE Proposal): Rozbalte tuto možnost pro zobrazení následujících polí. Šifrování (Encryption) Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Dostupné možnosti jsou AES 128, AES 256, AES 128 GCM, AES 256 GCM a Auto. Výchozí hodnota je AES 128. Skupina DH (DH Group) Vyberte z rozevíracího seznamu algoritmus skupiny Diffie-Hellman (DH). Ten se používá pro generování materiálu klíčů. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří 2, 5, 14, 15, 16, 19, 20 a 21. Výchozí hodnota je 14. Hash Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: - SHA 1
- SHA 256
- SHA 384
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
- Automatické (Auto)
Výchozí hodnota je SHA 256.
Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Zadejte dobu, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1440 minut. Poznámka: Opětovné vytvoření klíčů musí být zahájeno před vypršením 75–80 % doby životnosti.Časový limit DPD (s) (DPD Timeout(sec)) Zadejte hodnotu časového limitu DPD. Hodnota časového limitu DPD bude přidána do interního časovače DPD, jak je popsáno níže. Počkejte na odpověď zprávy DPD, než si budete jistí, že je zařízení druhé strany mimo provoz (Detekce zařízení mimo provoz druhé strany). Před verzí 5.1.0 je výchozí hodnota 20 sekund. Pro verzi 5.1.0 a novější naleznete výchozí hodnotu v níže uvedené nabídce.- Název knihovny: Quicksec
- Interval sondy: Exponenciální (0,5 sekundy, 1 sekunda, 2 sekundy, 4 sekundy, 8 sekund, 16 sekund)
- Výchozí minimální interval DPD: 47,5 s (Quicksec čeká 16 sekund po posledním opakování. Proto je hodnota 0,5+1+2+4+8+16+16 = 47,5).
- Výchozí minimální interval DPD + časový limit DPD (s): 67,5 s
Poznámka: Před vydáním 5.1.0 můžete DPD deaktivovat nastavením časovače časového limitu DPD na 0 sekund. Pro verzi 5.1.0 a novější nelze DPD deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund. Hodnota časového limitu DPD v sekundách se přidá k výchozí minimální hodnotě 47,5 sekund).Zobrazit rozšířená nastavení pro návrh IPsec (View advanced settings for IPsec Proposal): Rozbalte tuto možnost pro zobrazení následujících polí. Šifrování (Encryption) Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Dostupné možnosti jsou Žádný (None), AES 128 a AES 256. Výchozí hodnota je AES 128. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15, 16, 19, 20 a 21. Výchozí hodnota je 14. Hash Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: - SHA 1
- SHA 256
- SHA 384
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
Výchozí hodnota je SHA 256.
Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Zadejte dobu, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec jsou 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut. Poznámka: Opětovné vytvoření klíčů musí být zahájeno před vypršením 75–80 % doby životnosti.Sekundární brána VPN (Secondary VPN Gateway) Přidat (Add) – Kliknutím na tuto možnost přidáte sekundární bránu VPN. Zobrazí se následující pole. Veřejná IP (Public IP) Zadejte platnou adresu IPv4 nebo IPv6. Odstranit (Remove) Odstraní sekundární bránu VPN. Nastavení tunelu jsou stejná jako u primární brány VPN Toto pole zaškrtněte, pokud chcete použít stejné nastavení pro primární a sekundární bránu. Nastavení sekundární brány VPN můžete zadat ručně. Podsítě lokality (Site Subnets) Přidat (Add) Kliknutím na tuto možnost přidáte podsíť a popis Cíl jiný než SD-WAN. Odstranit (Delete) Kliknutím na tuto možnost odstraníte vybranou podsíť. - Klikněte na tlačítko Uložit (Save).
- V oblasti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na možnost Nový (New) nebo Nové NSD prostřednictvím Edge (New NSD via Edge) a vytvořte nový cíl jiný než SD-WAN.
- V oblasti Služby pro zabezpečení cloudu (Cloud Security Services) klikněte na tlačítko Nový (New).
- V okně Nová služba zabezpečení cloudu (New Cloud Security Service) vyberte typ služby z rozevírací nabídky. VMware SD-WAN podporuje následující typy CSS:
- Obecná služba pro zabezpečení cloudu (Generic Cloud Security Service)
- Služba pro zabezpečení cloudu (Cloud Security Service) Symantec / Palo Alto
- Služba pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service)
- Pokud jste jako Typ služby (Service Type) pro zabezpečení cloudu zvolili typ „Obecná“ (Generic) nebo „Symantec / Palo Alto“, nakonfigurujte následující pole a poté klikněte na možnost Uložit změny (Save Changes).
Možnost Popis (Description) Název služby (Service Name) Zadejte popisný název pro službu zabezpečení cloudu. Primární PoP/Server (Primary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro primární server. Sekundární PoP/Server (Secondary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro sekundární server. Toto pole je volitelné. - Pokud jste jako Typ služby (Service Type) zvolili možnost Služba pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service), nakonfigurujte následující pole a poté klikněte na možnost Uložit změny (Save Changes).
Možnost Popis (Description) Název služby (Service Name) Zadejte popisný název pro službu zabezpečení cloudu. Automatizovat nasazení cloudové služby (Automate Cloud Service Deployment) Zaškrtnutím pole vyberete nasazování automatizace. Adresa URL pro přihlášení do Zscaler (URL for logging in to Zscaler) Podle potřeby můžete použít existující adresu URL Zscaler z rozevíracího seznamu nebo zadat novou adresu URL. Primární server (Primary Server) Zadejte IP adresu nebo název hostitele pro primární server. Sekundární server (Secondary Server) Zadejte IP adresu nebo název hostitele pro sekundární server. Toto pole je volitelné. Kontrola stavu L7 (L7 Health Check) Zaškrtnutím tohoto pole budete monitorovat stav serveru Zscaler. Poznámka: U daného zařízení Edge / profilu uživatel nemůže přepsat parametry kontroly stavu L7 nakonfigurované v síťových službách.Interval sondy HTTP (HTTP Probe Interval) Zobrazuje dobu trvání intervalu mezi individuálními sondami HTTP. Výchozí interval sondy je 5 sekund. Počet opakovaných pokusů (Number of Retries) Vyberte počet povolených opakování před označením cloudové služby jako MIMO PROVOZ. Výchozí hodnota je 3. Mezní hodnota RTT (RTT Threshold) Mezní hodnota doby cesty tam a zpět (RTT) vyjádřená v milisekundách, používaná k výpočtu stavu cloudové služby. Cloudová služba je označena jako MIMO PROVOZ, pokud je měřená RTT nad nakonfigurovanou mezní hodnotou. Výchozí hodnota je 3000 milisekund. Přihlašovací adresa URL do Zscaler (Zscaler Login URL) Zadejte přihlašovací adresu URL a poté klikněte na Přihlášení do Zscaler (Login do Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler. Poznámka: Odkaz Přihlášení do Zscaler (Login to Zscaler) se aktivuje pouze v případě, že zadáte přihlašovací adresu URL Zscaler.
- Následují ostatní možnosti, které jsou k dispozici v části Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge:
Možnost Popis Odstranit Vyberte položku a kliknutím na tuto možnost položku odstraňte. Sloupce (Columns) Klikněte a vyberte sloupce, které se mají na stránce zobrazit nebo skrýt. Poznámka: Kliknutím na ikonu informací v horní části tabulky zobrazíte koncepční diagram a najetím myší na diagram se vám zobrazí další informace.