Podle následujících kroků nakonfigurujte Cíl jiný než SD-WAN typu Obecná brána firewall (VPN založená na zásadách) (Generic Firewall (Policy Based VPN)) v aplikaci SD-WAN Orchestrator.
Procedura
- Jakmile jste vytvořili konfiguraci Cíl jiný než SD-WAN typu Obecná brána firewall (VPN založená na zásadách) (Generic Firewall (Policy Based VPN)), budete přesměrováni na stránku s dalšími možnostmi konfigurace:
Poznámka: Sekundární brána VPN (Secondary VPN Gateway) není podporována pro typ síťové služby Obecná brána firewall (VPN založená na zásadách) (Generic Firewall (Policy Based VPN)).
- Můžete konfigurovat následující nastavení tunelu:
Možnost Popis Obecné (General) Název (Name) Dříve zadaný název Cíl jiný než SD-WAN můžete upravit. Typ (Type) Zobrazuje typ jako Obecná brána firewall (VPN založená na zásadách) (Generic Firewall (Policy Based VPN)). Tuto možnost nelze upravovat. Aktivovat tunelové propojení (Enable Tunnel(s)) Kliknutím na přepínací tlačítko spustíte tunelové propojení z brány SD-WAN do obecné brány firewall VPN. Režim tunelu (Tunnel Mode) Zobrazí režim Aktivní / Pohotovostní režim (Active/Hot-Standby) indikující, že pokud aktivní tunel spadne, tunel v aktivním Pohotovostním režimu (Hot-Standby) převezme provoz a stane se aktivním tunelem. Primární brána VPN (Primary VPN Gateway) Veřejná IP (Public IP) Zobrazuje IP adresu primární brány VPN. PSK Předem sdílený klíč (PSK) je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. SD-WAN Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole. Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES-128 nebo AES-256. Výchozí hodnota je AES-128. Skupina DH (DH Group) Vyberte z rozevírací nabídky algoritmus skupiny Diffie-Hellman (DH). Ten se používá pro generování materiálu klíčů. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Výchozí hodnota je 2. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou deaktivováno (deactivated), 2 a 5. Výchozí hodnota je deaktivováno (Deactivated). ID lokální autentizace (Local Auth Id) ID místního ověřování definuje formát a identifikaci místní brány. V rozevírací nabídce vyberte z následujících typů a zadejte hodnotu: - FQDN – plně kvalifikovaný název domény nebo hostitele. Například: vmware.com.
- FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Např. [email protected]
- IPv4 – IP adresa používaná pro komunikaci s místní bránou.
- IPv6 – IP adresa používaná pro komunikaci s místní bránou.
Poznámka:- Pokud hodnotu nezadáte, bude jako ID místní autentizace použita hodnota Výchozí (Default).
- Výchozí hodnota ID místní autentizace je místní IP adresa rozhraní Brána SD-WAN Gateway.
Ukázkový protokol IKE/IPsec (Sample IKE / IPsec) Kliknutím zobrazíte informace potřebné ke konfiguraci brány Cíl jiný než SD-WAN. Administrátor brány by měl tyto informace použít ke konfiguraci tunelového propojení (propojeních) VPN brány. Poznámka: Momentálně je podporovaná verze IKE IKEv1.Umístění (Location) Klikněte na možnost Upravit (Edit) a nastavte umístění konfigurované Cíl jiný než SD-WAN. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě. Podsítě lokality (Site Subnets) Pomocí přepínacího tlačítka aktivujte nebo deaktivujte podsítě lokality (Site Subnets). Kliknutím na možnost Přidat (Add) můžete přidat další podsítě pro Cíl jiný než SD-WAN. Pokud pro lokalitu nepotřebujete podsítě, vyberte podsíť a zaškrtněte pole Odstranit (Delete). Poznámka:- Pro podporu druhu datového centra typu Cíl jiný než SD-WAN kromě připojení IPsec musíte nakonfigurovat místní podsítě Cíl jiný než SD-WAN v systému VMware.
- Pokud nejsou nakonfigurovány žádné podsítě lokality, deaktivujte Podsítě lokality (Site Subnets) a aktivujte tunel.
Vlastní podsítě lokality (Custom Site Subnets) Pomocí této sekce přepíšete zdrojové podsítě směrované na toto zařízení VPN. Za normálních okolností jsou zdrojové podsítě odvozeny od podsítí LAN Edge směrovaných na toto zařízení. - Klikněte na tlačítko Uložit změny (Save Changes).