Toto téma obsahuje popis konfigurace lokality Cíl jiný než SD-WAN typu Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)) prostřednictvím Zařízení SD-WAN Edge v aplikaci SASE Orchestrator.
Procedura
- Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
- V oblasti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na tlačítko Nový (New).
Zobrazí se dialogové okno Cíle jiné než SD-WAN prostřednictvím Edge(Non SD-WAN Destinations via Edge).
- Do textového pole Název služby (Service Name) zadejte název Cíl jiný než SD-WAN.
- Z rozbalovací nabídky Typ služby (Service Type) vyberte jako typ tunelu IPsec možnost Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)).
- Klikněte na kartu Nastavení IKE/IPSec (IKE/IPSec Settings) a nakonfigurujte následující parametry:
Možnost Popis Verze IP (IP Version) Z rozevírací nabídky vyberte verzi IP (IPv4 nebo IPv6) pro aktuální Cíl jiný než SD-WAN. Primární brána VPN (Primary VPN Gateway) Veřejná IP (Public IP) Zadejte platnou adresu IPv4 nebo IPv6. Toto pole je povinné. Zobrazit rozšířená nastavení pro návrh IKE (View advanced settings for IKE Proposal): Rozbalte tuto možnost pro zobrazení následujících polí. Šifrování (Encryption) Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Dostupné možnosti jsou AES 128, AES 256, AES 128 GCM, AES 256 GCM a Auto. Výchozí hodnota je AES 128. Skupina DH (DH Group) Vyberte z rozevíracího seznamu algoritmus skupiny Diffie-Hellman (DH). Ten se používá pro generování materiálu klíčů. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří 2, 5, 14, 15, 16, 19, 20 a 21. Výchozí hodnota je 14. Hash Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: - SHA 1
- SHA 256
- SHA 384
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
- Automatické (Auto)
Výchozí hodnota je SHA 256.
Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Zadejte dobu, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1440 minut. Poznámka: Opětovné vytvoření klíčů musí být zahájeno před vypršením 75–80 % doby životnosti.Časový limit DPD (s) (DPD Timeout(sec)) Zadejte hodnotu časového limitu DPD. Hodnota časového limitu DPD bude přidána do interního časovače DPD, jak je popsáno níže. Počkejte na odpověď zprávy DPD, než si budete jistí, že je zařízení druhé strany mimo provoz (Detekce zařízení mimo provoz druhé strany). Před verzí 5.1.0 je výchozí hodnota 20 sekund. Pro verzi 5.1.0 a novější naleznete výchozí hodnotu v níže uvedené nabídce.- Název knihovny: Quicksec
- Interval sondy: Exponenciální (0,5 sekundy, 1 sekunda, 2 sekundy, 4 sekundy, 8 sekund, 16 sekund)
- Výchozí minimální interval DPD: 47,5 s (Quicksec čeká 16 sekund po posledním opakování. Proto je hodnota 0,5+1+2+4+8+16+16 = 47,5).
- Výchozí minimální interval DPD + časový limit DPD (s): 67,5 s
Poznámka: Pro verzi 5.1.0 a novější nelze DPD deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund. Hodnota časového limitu DPD v sekundách se přidá k výchozí minimální hodnotě 47,5 sekund.Zobrazit rozšířená nastavení pro návrh IPsec (View advanced settings for IPsec Proposal): Rozbalte tuto možnost pro zobrazení následujících polí. Šifrování (Encryption) Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Dostupné možnosti jsou Žádný (None), AES 128 a AES 256. Výchozí hodnota je AES 128. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15, 16, 19, 20 a 21. Výchozí hodnota je 14. Hash Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: - SHA 1
- SHA 256
- SHA 384
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan).
Výchozí hodnota je SHA 256.
Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Zadejte dobu, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec jsou 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut. Poznámka: Opětovné vytvoření klíčů musí být zahájeno před vypršením 75–80 % doby životnosti.Sekundární brána VPN (Secondary VPN Gateway) Přidat (Add) – Kliknutím na tuto možnost přidáte sekundární bránu VPN. Zobrazí se následující pole. Veřejná IP (Public IP) Zadejte platnou adresu IPv4 nebo IPv6. Odstranit (Remove) Odstraní sekundární bránu VPN. Zachovat aktivní tunel (Keep Tunnel Active) Zaškrtnutím tohoto políčka zachováte pro tento web aktivní sekundární tunel VPN. Nastavení tunelu jsou stejná jako u primární brány VPN (Tunnel settings are the same as Primary VPN Gateway) Toto pole zaškrtněte, pokud chcete použít stejná rozšířená nastavení pro primární a sekundární bránu. Nastavení sekundární brány VPN můžete zadat ručně. Poznámka: Když AWS inicializuje tunel pro opětovné vytvoření klíčů s lokalitou Brána VMware SD-WAN Gateway (v cílech jiných než SD-WAN), může dojít k selhání a tunel nebude vytvořen, což může způsobit přerušení provozu. Dodržujte následující:- Konfigurace časovače doby životnosti IPsec SA (min) pro Brána SD-WAN Gateway musí být menší než 60 minut (doporučeno 50 minut), aby odpovídala výchozí konfiguraci IPsec AWS.
- Skupiny DH a PFS DH si musí odpovídat.
- Sekundární brána VPN pro tuto lokalitu je okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.
- Klikněte na kartu Podsítě lokality (Site Subnets) a nakonfigurujte následující:
Možnost Popis Přidat (Add) Kliknutím na tuto možnost přidáte podsíť a popis Cíl jiný než SD-WAN. Odstranit (Delete) Kliknutím na tuto možnost odstraníte vybranou podsíť. Poznámka: Pro podporu druhu datového centra typu Cíl jiný než SD-WAN kromě připojení IPsec musíte nakonfigurovat místní podsítě Cíl jiný než SD-WAN v systému VMware. - Klikněte na tlačítko Uložit (Save).