Podle následujících kroků nakonfigurujte Cíl jiný než SD-WAN typu Obecný směrovač IKEv2 (VPN podle směrování) (Type Generic IKEv2 Router (Route Based VPN)) v aplikaci SASE Orchestrator.
Procedura
- Jakmile jste vytvořili konfiguraci Cíl jiný než SD-WAN typu Obecný směrovač IKEv2 (VPN podle směrování) (Type Generic IKEv2 Router (Route Based VPN)), budete přesměrováni na stránku s dalšími možnostmi konfigurace:
- Můžete konfigurovat následující nastavení tunelu:
Možnost Popis Obecné (General) Název (Name) Dříve zadaný název Cíl jiný než SD-WAN můžete upravit. Typ (Type) Zobrazí typ Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)). Tuto možnost nelze upravovat. Aktivovat tunelové propojení (Enable Tunnel(s)) Kliknutím na přepínací tlačítko spustíte tunelové propojení z brány SD-WAN do brány Obecný směrovač IKEv2 (VPN podle směrování) (Type Generic IKEv2 Router (Route Based VPN)). Režim tunelu (Tunnel Mode) Zobrazí režim Aktivní / Pohotovostní režim (Active/Hot-Standby) indikující, že pokud aktivní tunel spadne, tunel v aktivním Pohotovostním režimu (Hot-Standby) převezme provoz a stane se aktivním tunelem. Primární brána VPN (Primary VPN Gateway) Veřejná IP (Public IP) Zobrazuje IP adresu primární brány VPN. PSK Předem sdílený klíč (PSK) je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. SASE Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole. Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES-128 nebo AES-256. Výchozí hodnota je AES-128. Skupina DH (DH Group) Vyberte z rozevírací nabídky algoritmus skupiny Diffie-Hellman (DH). Ten se používá pro generování materiálu klíčů. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Výchozí hodnota je 2. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou deaktivováno (deactivated), 2 a 5. Výchozí hodnota je 2. Algoritmus autentizace (Authentication Algorithm) Vyberte algoritmus autentizace pro záhlaví VPN. Vyberte jednu z podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu:
- SHA1
- SHA256
- SHA384
- SHA512
Výchozí hodnota je SHA 1.
Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro SD-WAN Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1 440 minut. Výchozí hodnota je 1440 minut. Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec jsou 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut. Typ DPD (DPD Type) Metoda detekce mrtvého zařízení druhé strany (DPD) se používá k detekci, zda je zařízení druhé strany IKE (Internet Key Exchange) v provozu, nebo mimo provoz. Pokud je zařízení druhé strany detekováno jako mimo provoz, zařízení odstraní přidružení zabezpečení IPsec a IKE. Z rozevírací nabídky vyberte možnost Periodicky (Periodic) nebo Na vyžádání (onDemand). Výchozí hodnota je Na vyžádání (onDemand). Časový limit DPD (s) (DPD Timeout(sec)) Zadejte hodnotu časového limitu DPD. Hodnota časového limitu DPD bude přidána do interního časovače DPD, jak je popsáno níže. Počkejte na odpověď zprávy DPD, než si budete jistí, že je zařízení druhé strany mimo provoz (Detekce zařízení mimo provoz druhé strany). Před verzí 5.1.0 je výchozí hodnota 20 sekund. Pro verzi 5.1.0 a novější naleznete výchozí hodnotu v níže uvedené nabídce.- Název knihovny: Quicksec
- Interval sondy: Exponenciální (0,5 sekundy, 1 sekunda, 2 sekundy, 4 sekundy, 8 sekund, 16 sekund)
- Výchozí minimální interval DPD: 47,5 s (Quicksec čeká 16 sekund po posledním opakování. Proto je hodnota 0,5+1+2+4+8+16+16 = 47,5).
- Výchozí minimální interval DPD + časový limit DPD (s): 67,5 s
Poznámka: Před vydáním 5.1.0 můžete DPD deaktivovat nastavením časovače časového limitu DPD na 0 sekund. Pro verzi 5.1.0 a novější nelze DPD deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund. Hodnota časového limitu DPD v sekundách se přidá k výchozí minimální hodnotě 47,5 sekund).Redundantní VPN VMware Cloud (Redundant VMware Cloud VPN) Zaškrtnutím pole přidáte redundantní tunely pro každou bránu VPN. Změny provedené v Šifrování (Encryption), Skupině DH (DH Group) nebo PFS primární brány VPN budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována. Sekundární brána VPN (Secondary VPN Gateway) Klikněte na tlačítko Přidat (Add) a poté zadejte IP adresu sekundární brány VPN. Klikněte na tlačítko Uložit změny (Save Changes). Sekundární brána VPN pro tuto lokalitu je okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.
ID lokální autentizace (Local Auth Id) ID místního ověřování definuje formát a identifikaci místní brány. V rozevírací nabídce vyberte z následujících typů a zadejte hodnotu: - FQDN – plně kvalifikovaný název domény nebo hostitele. Například: vmware.com.
- FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Např. [email protected]
- IPv4 – IP adresa používaná pro komunikaci s místní bránou.
- IPv6 – IP adresa používaná pro komunikaci s místní bránou.
Poznámka:- Pokud hodnotu nezadáte, bude jako ID místní autentizace použita hodnota Výchozí (Default).
- Výchozí hodnota ID místní autentizace je veřejná IP adresa rozhraní Brána SD-WAN Gateway.
Ukázkový protokol IKE/IPsec (Sample IKE / IPsec) Kliknutím zobrazíte informace potřebné ke konfiguraci brány Cíl jiný než SD-WAN. Administrátor brány by měl tyto informace použít ke konfiguraci tunelového propojení (propojeních) VPN brány. Umístění (Location) Klikněte na možnost Upravit (Edit) a nastavte umístění konfigurované Cíl jiný než SD-WAN. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě. Podsítě lokality (Site Subnets) Pomocí přepínacího tlačítka aktivujte nebo deaktivujte podsítě lokality (Site Subnets). Kliknutím na možnost Přidat (Add) můžete přidat další podsítě pro Cíl jiný než SD-WAN. Pokud pro lokalitu nepotřebujete podsítě, vyberte podsíť a zaškrtněte pole Odstranit (Delete). Poznámka:- Pro podporu druhu datového centra typu Cíl jiný než SD-WAN kromě připojení IPsec musíte nakonfigurovat místní podsítě Cíl jiný než SD-WAN v systému VMware.
- Pokud nejsou nakonfigurovány žádné podsítě lokality, deaktivujte Podsítě lokality (Site Subnets) a aktivujte tunel.
Poznámka: Když AWS inicializuje tunel pro opětovné vytvoření klíčů s lokalitou Brána VMware SD-WAN Gateway (v cílech jiných než SD-WAN), může dojít k selhání a tunel nebude vytvořen, což může způsobit přerušení provozu. V tomto případě dodržujte následující:- Konfigurace časovače doby životnosti IPsec SA (min) pro Brána SD-WAN Gateway musí být menší než 60 minut (doporučená hodnota = 50 minut), aby odpovídala výchozí konfiguraci IPsec AWS.
- Hodnoty Skupina DH (DH Group) a PFS se musejí shodovat.
- Klikněte na tlačítko Uložit změny (Save Changes).