Beschreibt, wie Sie eine Nicht-VMware SD-WAN Site vom Typ AWS-VPN-Gateway konfigurieren.
Über diese Aufgabe
Sie können Nicht-SD-WAN-Ziele über das Gateway nur auf der Profilebene konfigurieren. Sie können nicht auf der SD-WAN Edge-Ebene überschrieben werden.
Vorgehensweise
- Navigieren Sie im Navigationsfenster in SD-WAN Orchestrator zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
Der Bildschirm Dienste (Services) wird angezeigt.
- Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf die Schaltfläche Neu (New).
Das Dialogfeld Neue Nicht-SD-WAN-Ziele über Gateway (New Non SD-WAN Destinations via Gateway) wird angezeigt.
- Geben Sie im Textfeld Name den Namen für die Nicht-SD-WAN-Ziel ein.
- Wählen Sie im Dropdown-Menü Typ (Type) den Eintrag AWS-VPN-Gateway (AWS VPN Gateway).
- Geben Sie die IP-Adresse für das primäre VPN-Gateway ein und klicken Sie auf Weiter (Next).
Eine Nicht-SD-WAN-Ziel vom Typ AWS-VPN-Gateway wird erstellt, und ein Dialogfeld für Ihre Nicht-SD-WAN-Ziel wird angezeigt.
- Um die Tunneleinstellungen für das primäre VPN-Gateway der Nicht-SD-WAN-Ziel zu konfigurieren, klicken Sie auf die Schaltfläche Erweitert (Advanced).
- Im Bereich Primäres VPN-Gateway (Primary VPN Gateway) können Sie die folgenden Tunneleinstellungen konfigurieren:
Feld Beschreibung Tunnelmodus (Tunnel Mode) Aktiv/Hot-Standby (Active/Hot-Standby) wird auf dem SD-WAN Gateway unterstützt. Aktiv/Hot-Standby wird automatisch angezeigt und gibt an, dass der Standby-Tunnel (Hot-Standby) übernimmt und zum aktiven Tunnel wird, wenn der aktive Tunnel ausfällt. PSK Der vorinstallierte Schlüssel (Pre-Shared Key, PSK), der der Sicherheitsschlüssel für die Authentifizierung über den Tunnel ist. Der SD-WAN Orchestrator generiert standardmäßig einen PSK. Wenn Sie einen eigenen PSK oder ein eigenes Kennwort verwenden möchten, geben Sie dies in das Textfeld ein. Verschlüsselung (Encryption) Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Der Standardwert ist AES 128. DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5 und 14. Es wird empfohlen, DH-Gruppe 14 zu verwenden. PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2 und 5. Der Standardwert ist „Deaktiviert“. Authentifizierungsalgorithmus (Authentication Algorithm) Der Authentifizierungsalgorithmus für die VPN-Kopfzeile. Wählen Sie eine der folgenden unterstützten Secure Hash Algorithm (SHA)-Funktionen aus der Dropdown-Menüliste aus: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Der Standardwert ist SHA 1.
IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für SD-WAN Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 und die maximale Dauer 1440 Minuten. Der Standardwert ist 1440 Sekunden. IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPsec-Lebensdauer beträgt 3 und die maximale Dauer 480 Minuten. Der Standardwert ist 480 Sekunden. DPD-Typ (DPD Type) Mit der „Dead Peer Detection (DPD)“-Methode wird festgestellt, ob der Peer des Internet Key Exchange (IKE) aktiv oder inaktiv ist. Wenn der Peer als inaktiv erkannt wird, löscht das Gerät die IPsec- und IKE-Sicherheitsverbindung. Wählen Sie entweder „Regelmäßig (Periodic)“ oder „Bei Bedarf (On Demand)“ aus der Liste aus. Der Standardwert ist „Bei Bedarf“ (On Demand). DPD-Zeitüberschreitung (Sek.) (DPD Timeout(sec)) Geben Sie den DPD-Zeitüberschreitungswert ein. Der DPD-Zeitüberschreitungswert wird dem internen DPD-Timer hinzugefügt (siehe folgende Beschreibung). Warten Sie auf eine Antwort auf die DPD-Nachricht, bevor Sie den Peer als inaktiv betrachten (Erkennung inaktiver Peers). Vor Version 5.1.0 beträgt der Standardwert 20 Sekunden. Für Version 5.1.0 und höher finden Sie den Standardwert in der nachstehenden Liste.- Bibliotheksname: Quicksec
- Prüfintervall: Exponentiell (0,5 Sekunden, 1 Sekunde, 2 Sekunden, 4 Sekunden, 8 Sekunden, 16 Sekunden)
- Standardmäßiges minimales DPD-Intervall: 47,5 Sekunden (Quicksec wartet 16 Sekunden nach der letzten Wiederholung. Daher 0,5+1+2+4+8+16+16 = 47,5).
- Standardmäßiges minimales DPD-Intervall + DPD-Zeitüberschreitung (Sekunden): 67,5 Sekunden
Hinweis: Vor Version 5.1.0 können Sie DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Für Version 5.1.0 und höher können Sie DPD jedoch nicht deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Der DPD-Zeitüberschreitungswert in Sekunden wird dem Standardwert von 47,5 Sekunden hinzugefügt). - Um ein sekundäres VPN-Gateway für diese Site zu erstellen, klicken Sie auf die Schaltfläche Hinzufügen (Add) neben Sekundäres VPN-Gateway (Secondary VPN Gateway). Geben Sie im Popup-Fenster die IP-Adresse des sekundären VPN-Gateways ein und klicken Sie auf Änderungen speichern (Save Changes).
Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.
- Aktivieren Sie das Kontrollkästchen Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN), um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Alle Änderungen, die an „Verschlüsselung (Encryption)“, „DH-Gruppe (DH Group)“ oder „PFS von Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet.
- Nachdem Sie die Tunneleinstellungen des primären VPN-Gateways geändert haben, speichern Sie die Änderungen und klicken dann auf IKE/IPSec-Vorlage anzeigen (View IKE/IPSec Template), um die aktualisierte Tunnelkonfiguration anzuzeigen.
- Klicken Sie auf den Link Standort aktualisieren (Update Location) oben rechts im Dialogfeld Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway), um den Speicherort für die konfigurierte Nicht-VMware SD-WAN Site festzulegen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten SD-WAN Edge oder das beste SD-WAN Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann.
- Im Bereich Site-Subnetze (Site Subnets) können Sie Subnetze für die Nicht-VMware SD-WAN Site hinzufügen, indem Sie auf die Schaltfläche „+“ klicken. Verwenden Sie „Benutzerdefinierte Quellsubnetze (Custom Source Subnets)“, um die an dieses VPN-Gerät weitergeleiteten Quellsubnetze außer Kraft zu setzen. Normalerweise werden Quellsubnetze von den an dieses Gerät weitergeleiteten SD-WAN Edge-LAN-Subnetzen abgeleitet.
Hinweis: Site-Subnetze sollten zum Aktivieren eines Tunnels deaktiviert werden, wenn keine Site-Subnetze konfiguriert sind.
- Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), sobald Sie bereit sind, den Tunnel vom SD-WAN Gateway zu den AWS-VPN-Gateways zu initiieren.
- Klicken Sie auf Änderungen speichern (Save Changes).
- Weisen Sie den neu erstellten Netzwerkdienst der Nicht-SD-WAN-Site einem Profil zu, indem Sie im SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) navigieren. Weitere Informationen finden Sie unter Konfigurieren eines Tunnels zwischen einer Zweigstelle und einem Nicht-SD-WAN-Ziel über Gateway.
- Kehren Sie zum Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) im SD-WAN Orchestrator zurück, indem Sie zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) navigieren.
- Scrollen Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) zum Namen Ihrer Nicht-SD-WAN-Site und klicken Sie dann auf den Link Bearbeiten (Edit) in der Spalte BGP.
- Konfigurieren Sie das BGP basierend auf den AWS-Werten für die folgenden obligatorischen Felder: Lokale ASN (Local ASN), Tunneltyp (Tunnel Type), Nachbar-IP (Neighbor IP) und Lokale IP (Local IP) (aus dem Abschnitt Erweiterte Optionen (Advanced Options)). HINWEIS: Tunneltyp wird standardmäßig aktualisiert. Weitere Informationen finden Sie bei Bedarf in der AWS-Dokumentation. Weitere Informationen finden Sie unter Konfigurieren von BGP über IPSec von Gateways.
- Klicken Sie auf OK, um Ihre Änderungen zu speichern.
- Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf den Link Bearbeiten (Edit) in der Spalte BFD für ein Nicht-SD-WAN-Ziel, um die BFD-Einstellungen zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von BFD für Gateways.
Nächste Schritte
Sie können den Gesamtstatus der Nicht-SD-WAN-Sites auf der Registerkarte „Überwachen (Monitor)“ überprüfen. Weitere Informationen finden Sie unter: