Führen Sie die folgenden Schritte aus, um ein Nicht-SD-WAN-Ziel vom Typ Generischer IKEv1-Router (Routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN)) in SD-WAN Orchestrator zu konfigurieren.
Prozedur
- Nachdem Sie eine Nicht-SD-WAN-Ziel-Konfiguration vom Typ Generischer IKEv1-Router (Routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN)) erstellt haben, werden Sie zu einer Seite mit zusätzlichen Konfigurationsoptionen umgeleitet:
- Sie können die folgenden Tunneleinstellungen konfigurieren:
Option Beschreibung Allgemein Name Sie können den zuvor eingegebenen Namen für Nicht-SD-WAN-Ziel bearbeiten. Typ (Type) Zeigt den Typ Generischer IKEv1-Router (routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN)) an. Sie können diese Option nicht bearbeiten. Tunnel aktivieren (Enable Tunnel(s)) Klicken Sie auf die Umschaltfläche, um den Tunnel vom SD-WAN-Gateway zum Gateway des generischen IKEv1-Router-VPN zu initiieren. Tunnelmodus (Tunnel Mode) Zeigt Aktiv/Hot-Standby (Active/Hot-Standby) an, dass der Standby-Tunnel (Hot-Standby) übernimmt und zum aktiven Tunnel wird, wenn der aktive Tunnel ausfällt. Primäres VPN-Gateway (Primary VPN Gateway) Öffentliche IP (Public IP) Zeigt die IP-Adresse des primären VPN-Gateways an. PSK Der vorinstallierte Schlüssel (PSK) ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Der SD-WAN Orchestrator generiert standardmäßig einen PSK. Wenn Sie Ihren eigenen PSK oder Ihr eigenes Kennwort verwenden möchten, geben Sie es in das Textfeld ein. Hinweis: Ab Version 4.5 wird die Verwendung des Sonderzeichens „<“ im Kennwort nicht mehr unterstützt. Wenn Benutzer das Sonderzeichen „<“ bereits in früheren Versionen in ihren Kennwörtern verwendet haben, muss es entfernt werden, um Änderungen an der Seite speichern zu können.Verschlüsselung (Encryption) Wählen Sie entweder AES-128 oder AES-256 als Schlüsselgröße des AES-Algorithmus zur Verschlüsselung von Daten aus. Der Standardwert ist AES-128. DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppenalgorithmus aus dem Dropdown-Menü aus. Dieser Algorithmus wird zum Generieren von Schlüsselmaterial verwendet. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Unterstützte DH-Gruppen: 2, 5 und 14. Der Standardwert ist 2. PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Unterstützte PFS-Ebenen: deaktiviert (deactivated), 2 und 5. Der Standardwert ist 2. Redundantes VMware Cloud-VPN (Redundant VMware Cloud VPN) Aktivieren Sie das Kontrollkästchen, um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Änderungen, die an Verschlüsselung (Encryption), DH-Gruppe (DH Group) oder PFS von „Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet. Sekundäres VPN-Gateway (Secondary VPN Gateway) Klicken Sie auf die Schaltfläche Hinzufügen (Add) und geben Sie dann die IP-Adresse des sekundären VPN-Gateways ein. Klicken Sie auf Änderungen speichern (Save Changes). Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.
Lokale Authentifizierungs-ID (Local Auth Id) Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-Menü eine der folgenden Typen aus und geben Sie einen Wert ein: - FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: vmware.com
- Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected]
- IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
- IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
Hinweis:- Wenn Sie keinen Wert angeben, wird Standard (Default) als lokale Authentifizierungs-ID verwendet.
- Als Standardwert der lokalen Authentifizierungs-ID wird die öffentliche IP der SD-WAN Gateway-Schnittstelle verwendet.
Beispiel IKE/IPsec (Sample IKE / IPsec) Klicken Sie hier, um die Informationen anzuzeigen, die zum Konfigurieren des Nicht-SD-WAN-Ziel-Gateways erforderlich sind. Der Gateway-Administrator sollte diese Informationen verwenden, um den/die VPN-Tunnel des Gateways zu konfigurieren. Standort (Location) Klicken Sie auf Bearbeiten (Edit), um den Speicherort für die konfigurierte Nicht-SD-WAN-Ziel festzulegen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann. Site-Subnetze (Site Subnets) Verwenden Sie die Umschaltfläche, um die Site-Subnetze (Site Subnets) zu aktivieren oder zu deaktivieren. Klicken Sie auf Hinzufügen (Add), um Subnetze für das Nicht-SD-WAN-Ziel hinzuzufügen. Wenn Sie keine Subnetze für die Site benötigen, wählen Sie das Subnetz aus und klicken Sie auf Löschen (Delete). Hinweis:- Zur Unterstützung des Datencentertyps von Nicht-SD-WAN-Ziel müssen Sie neben der IPsec-Verbindung lokale Nicht-SD-WAN-Ziel-Subnetze im VMware-System konfigurieren.
- Wenn keine Site-Subnetze konfiguriert sind, deaktivieren Sie Site-Subnetze (Site Subnets), um den Tunnel zu aktivieren.
- Klicken Sie auf Änderungen speichern (Save Changes).