Führen Sie die folgenden Schritte aus, um ein Nicht-SD-WAN-Ziel vom Typ Generischer IKEv2-Router (Routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) in SD-WAN Orchestrator zu konfigurieren.

Prozedur

  1. Sobald Sie eine Nicht-SD-WAN-Ziel-Konfiguration vom Typ Generischer IKEv2-Router (Routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) erstellt haben, werden Sie zu einer Seite mit zusätzlichen Konfigurationsoptionen weitergeleitet:
  2. Sie können die folgenden Tunneleinstellungen konfigurieren:
    Option Beschreibung
    Allgemein
    Name Sie können den zuvor eingegebenen Namen für Nicht-SD-WAN-Ziel bearbeiten.
    Typ (Type) Zeigt den Typ Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) an. Sie können diese Option nicht bearbeiten.
    Tunnel aktivieren Klicken Sie auf die Umschaltfläche, um den Tunnel vom SD-WAN-Gateway zu dem Gateway des generischen IKEv2-Router-VPN zu initiieren.
    Tunnelmodus (Tunnel Mode) Zeigt Aktiv/Hot-Standby (Active/Hot-Standby) an, dass der Standby-Tunnel (Hot-Standby) übernimmt und zum aktiven Tunnel wird, wenn der aktive Tunnel ausfällt.
    Primäres VPN-Gateway (Primary VPN Gateway)
    Öffentliche IP (Public IP) Zeigt die IP-Adresse des primären VPN-Gateways an.
    PSK Der vorinstallierte Schlüssel (PSK) ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Der SD-WAN Orchestrator generiert standardmäßig einen PSK. Wenn Sie Ihren eigenen PSK oder Ihr eigenes Kennwort verwenden möchten, geben Sie es in das Textfeld ein.
    Verschlüsselung (Encryption) Wählen Sie entweder AES-128 oder AES-256 als Schlüsselgröße des AES-Algorithmus zur Verschlüsselung von Daten aus. Der Standardwert ist AES-128.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppenalgorithmus aus dem Dropdown-Menü aus. Dieser Algorithmus wird zum Generieren von Schlüsselmaterial verwendet. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Unterstützte DH-Gruppen: 2, 5 und 14. Der Standardwert ist 2.
    PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Unterstützte PFS-Ebenen: deaktiviert (deactivated), 2 und 5. Der Standardwert ist 2.
    Authentifizierungsalgorithmus (Authentication Algorithm)

    Wählen Sie den Authentifizierungsalgorithmus für die VPN-Kopfzeile aus. Wählen Sie eine der unterstützten Secure Hash Algorithm (SHA)-Funktionen aus dem Dropdown-Menü aus:

    • SHA1
    • SHA256
    • SHA384
    • SHA512

    Der Standardwert ist SHA 1.

    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für SD-WAN Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 und die maximale Dauer 1440 Minuten. Der Standardwert ist 1440 Sekunden.
    IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPsec-Lebensdauer beträgt 3 und die maximale Dauer 480 Minuten. Der Standardwert ist 480 Sekunden.
    DPD-Typ (DPD Type) Mit der „Dead Peer Detection (DPD)“-Methode wird festgestellt, ob der Peer des Internet Key Exchange (IKE) aktiv oder inaktiv ist. Wenn der Peer als inaktiv erkannt wird, löscht das Gerät die IPsec- und IKE-Sicherheitsverbindung. Wählen Sie entweder Regelmäßig (Periodic) oder Bei Bedarf (onDemand) aus dem Dropdown-Menü aus. Der Standardwert ist Bei Bedarf (onDemand).
    DPD-Zeitüberschreitung (Sek.) (DPD Timeout(sec)) Geben Sie den DPD-Zeitüberschreitungswert ein. Der DPD-Zeitüberschreitungswert wird dem internen DPD-Timer hinzugefügt (siehe folgende Beschreibung). Warten Sie auf eine Antwort auf die DPD-Nachricht, bevor Sie den Peer als inaktiv betrachten (Erkennung inaktiver Peers).
    Vor Version 5.1.0 beträgt der Standardwert 20 Sekunden. Für Version 5.1.0 und höher finden Sie den Standardwert in der nachstehenden Liste.
    • Bibliotheksname: Quicksec
    • Prüfintervall: Exponentiell (0,5 Sekunden, 1 Sekunde, 2 Sekunden, 4 Sekunden, 8 Sekunden, 16 Sekunden)
    • Standardmäßiges minimales DPD-Intervall: 47,5 Sekunden (Quicksec wartet 16 Sekunden nach der letzten Wiederholung. Daher 0,5+1+2+4+8+16+16 = 47,5).
    • Standardmäßiges minimales DPD-Intervall + DPD-Zeitüberschreitung (Sekunden): 67,5 Sekunden
    Hinweis: Vor Version 5.1.0 können Sie DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Für Version 5.1.0 und höher können Sie DPD jedoch nicht deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Der DPD-Zeitüberschreitungswert in Sekunden wird dem Standardwert von 47,5 Sekunden hinzugefügt).
    Redundantes VMware Cloud-VPN Aktivieren Sie das Kontrollkästchen, um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Änderungen, die an Verschlüsselung (Encryption), DH-Gruppe (DH Group) oder PFS von „Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet.
    Sekundäres VPN-Gateway (Secondary VPN Gateway) Klicken Sie auf die Schaltfläche Hinzufügen (Add) und geben Sie dann die IP-Adresse des sekundären VPN-Gateways ein. Klicken Sie auf Änderungen speichern (Save Changes).

    Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.

    Lokale Authentifizierungs-ID Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-Menü eine der folgenden Typen aus und geben Sie einen Wert ein:
    • FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: vmware.com
    • Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected]
    • IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
    • IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
    Hinweis:
    • Wenn Sie keinen Wert angeben, wird Standard (Default) als lokale Authentifizierungs-ID verwendet.
    • Als Standardwert der lokalen Authentifizierungs-ID wird die öffentliche IP der SD-WAN Gateway-Schnittstelle verwendet.
    Beispiel IKE/IPsec Klicken Sie hier, um die Informationen anzuzeigen, die zum Konfigurieren des Nicht-SD-WAN-Ziel-Gateways erforderlich sind. Der Gateway-Administrator sollte diese Informationen verwenden, um den/die VPN-Tunnel des Gateways zu konfigurieren.
    Standort Klicken Sie auf Bearbeiten (Edit), um den Speicherort für die konfigurierte Nicht-SD-WAN-Ziel festzulegen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann.
    Site-Subnetze Verwenden Sie die Umschaltfläche, um die Site-Subnetze (Site Subnets) zu aktivieren oder zu deaktivieren. Klicken Sie auf Hinzufügen (Add), um Subnetze für das Nicht-SD-WAN-Ziel hinzuzufügen. Wenn Sie keine Subnetze für die Site benötigen, wählen Sie das Subnetz aus und klicken Sie auf Löschen (Delete).
    Hinweis:
    • Zur Unterstützung des Datencentertyps von Nicht-SD-WAN-Ziel müssen Sie neben der IPsec-Verbindung lokale Nicht-SD-WAN-Ziel-Subnetze im VMware-System konfigurieren.
    • Wenn keine Site-Subnetze konfiguriert sind, deaktivieren Sie Site-Subnetze (Site Subnets), um den Tunnel zu aktivieren.
    Hinweis: Wenn AWS den Neuverschlüsselungstunnel mit einem VMware SD-WAN Gateway (in Nicht-SD-WAN-Zielen) initiiert, kann ein Fehler auftreten und ein Tunnel wird möglicherweise nicht eingerichtet. Dies kann zu Unterbrechungen beim Datenverkehr führen. Beachten Sie in diesem Fall Folgendes:
    • IPsec-SA-Lebensdauer (Min.)-Timerkonfigurationen für das SD-WAN Gateway müssen weniger als 60 Minuten (empfohlener Wert = 50 Minuten) betragen, damit sie mit der Standardkonfiguration für IPsec in AWS übereinstimmen.
    • Die Werte DH-Gruppe (DH Group) und PFS müssen übereinstimmen.
  3. Klicken Sie auf Änderungen speichern (Save Changes).