VMware ermöglicht es Enterprise-Benutzern, eine Nicht-SD-WAN-Ziel-Instanz zu definieren und zu konfigurieren und einen sicheren IPsec-Tunnel direkt von einem SD-WAN Edge zu einer Nicht-SD-WAN-Ziel einzurichten. In diesem Abschnitt können Sie auch Cloud-Sicherheitsdienste konfigurieren.
Prozedur
- Navigieren Sie im Unternehmensportal zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) und erweitern Sie dann unter Nicht-SD-WAN-Ziele (Non SD-WAN Destinations) die Option Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge).
- Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) auf Neu (New) oder auf die Option Neuer NSD über Edge (New NSD via Edge), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
Hinweis: Die Option Neuer NSD über Edge (New NSD via Edge) wird nur angezeigt, wenn in der Tabelle keine Elemente vorhanden sind.
- Die folgenden Konfigurationsoptionen sind verfügbar:
Option Beschreibung Allgemein (General) Dienstname (Service Name) Geben Sie den Namen für die Nicht-SD-WAN-Ziel ein. Dieses Feld ist obligatorisch. Diensttyp (Service Type) Wählen Sie den Diensttyp aus dem Dropdown-Menü aus. Die verfügbaren Optionen sind Generischer IKEv1-Router (routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN)), Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) und Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN). Dieses Feld ist obligatorisch. Tunnelmodus (Tunnel Mode) Wählen Sie im Dropdown-Menü einen Tunnelmodus aus. Die verfügbaren Optionen sind Aktiv/Aktiv (Active/Active), Aktiv/Hot-Standby (Active/Hot-Standby) und Aktiv/Standby (Active/Standby). IKE/IPsec-Einstellungen (IKE/IPSec Settings) IP-Version Zeigt die IP-Version der aktuellen Nicht-SD-WAN-Ziel an. Primäres VPN-Gateway (Primary VPN Gateway) Öffentliche IP (Public IP) Geben Sie eine gültige IPv4- oder IPv6-Adresse ein. Dieses Feld ist obligatorisch. Erweiterte Einstellungen für IKE-Vorschlag anzeigen (View advanced settings for IKE Proposal): Erweitern Sie diese Option, um die folgenden Felder anzuzeigen. Verschlüsselung (Encryption) Wählen Sie aus der Dropdown-Liste die Schlüsselgröße des AES-Algorithmus zur Verschlüsselung der Daten aus. Verfügbare Optionen: AES 128, AES 256, AES 128 GCM, AES 256 GCM und Auto. Der Standardwert ist AES 128. DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppenalgorithmus aus der Dropdown-Liste aus. Dieser Algorithmus wird zum Generieren von Schlüsselmaterial verwendet. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Unterstützte DH-Gruppen: 2, 5, 14, 15, 16, 19, 20 und 21. Der Standardwert ist 14. Hash Wählen Sie eine der folgenden unterstützten Secure Hash Algorithm (SHA)-Funktionen aus der Dropdown-Liste aus: - SHA 1
- SHA 256
- SHA 384
Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
- SHA 512
Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
- Automatisch
Der Standardwert ist SHA 256.
IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie den Zeitpunkt ein, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 und die maximale Dauer 1440 Minuten. Der Standardwert ist 1440 Sekunden. Hinweis: Die erneute Schlüsselerstellung muss initiiert werden, bevor 75-80 % der Lebensdauer ablaufen.DPD-Zeitüberschreitung (Sek.) (DPD Timeout(sec)) Geben Sie den DPD-Zeitüberschreitungswert ein. Der DPD-Zeitüberschreitungswert wird dem internen DPD-Timer hinzugefügt (siehe folgende Beschreibung). Warten Sie auf eine Antwort auf die DPD-Nachricht, bevor Sie den Peer als inaktiv betrachten (Erkennung inaktiver Peers). Vor Version 5.1.0 beträgt der Standardwert 20 Sekunden. Für Version 5.1.0 und höher finden Sie den Standardwert in der nachstehenden Liste.- Bibliotheksname: Quicksec
- Prüfintervall: Exponentiell (0,5 Sekunden, 1 Sekunde, 2 Sekunden, 4 Sekunden, 8 Sekunden, 16 Sekunden)
- Standardmäßiges minimales DPD-Intervall: 47,5 Sekunden (Quicksec wartet 16 Sekunden nach der letzten Wiederholung. Daher 0,5+1+2+4+8+16+16 = 47,5).
- Standardmäßiges minimales DPD-Intervall + DPD-Zeitüberschreitung (Sekunden): 67,5 Sekunden
Hinweis: Vor Version 5.1.0 können Sie DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Für Version 5.1.0 und höher können Sie DPD jedoch nicht deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Der DPD-Zeitüberschreitungswert in Sekunden wird dem Standardwert von 47,5 Sekunden hinzugefügt).Erweiterte Einstellungen für IPsec-Vorschlag anzeigen (View advanced settings for IPsec Proposal): Erweitern Sie diese Option, um die folgenden Felder anzuzeigen. Verschlüsselung (Encryption) Wählen Sie aus der Dropdown-Liste die Schlüsselgröße des AES-Algorithmus zur Verschlüsselung der Daten aus. Verfügbare Optionen: Keine (None), AES 128 und AES 256. Der Standardwert ist AES 128. PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Unterstützte PFS-Ebenen: 2, 5, 14, 15, 16, 19, 20 und 21. Der Standardwert ist 14. Hash Wählen Sie eine der folgenden unterstützten Secure Hash Algorithm (SHA)-Funktionen aus der Dropdown-Liste aus: - SHA 1
- SHA 256
- SHA 384
Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
- SHA 512
Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
Der Standardwert ist SHA 256.
IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie den Zeitpunkt ein, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPsec-Lebensdauer beträgt 3 und die maximale Dauer 480 Minuten. Der Standardwert ist 480 Sekunden. Hinweis: Die erneute Schlüsselerstellung muss initiiert werden, bevor 75-80 % der Lebensdauer ablaufen.Sekundäres VPN-Gateway (Secondary VPN Gateway) Hinzufügen (Add): Klicken Sie auf diese Option, um ein sekundäres VPN-Gateway hinzuzufügen. Die folgenden Felder werden angezeigt. Öffentliche IP (Public IP) Geben Sie eine gültige IPv4- oder IPv6-Adresse ein. Entfernen Löscht das sekundäre VPN-Gateway. Tunneleinstellungen sind identisch mit dem primären VPN-Gateway Aktivieren Sie dieses Kontrollkästchen, wenn Sie dieselben Einstellungen für primäre und sekundäre Gateways verwenden möchten. Sie können die Einstellungen für das sekundäre VPN-Gateway manuell eingeben. Site-Subnetze (Site Subnets) Hinzufügen Klicken Sie auf diese Option, um ein Subnetz und eine Beschreibung für das Nicht-SD-WAN-Ziel hinzuzufügen. Löschen Klicken Sie auf diese Option, um das ausgewählte Subnetz zu löschen. - Klicken Sie auf Speichern (Save).
- Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) auf Neu (New) oder auf die Option Neuer NSD über Edge (New NSD via Edge), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
- Klicken Sie im Abschnitt Cloud-Security-Services (Cloud Security Services) auf Neu (New).
- Wählen Sie im Fenster Neuer Cloud-Security-Service (New Cloud Security Service) einen Diensttyp aus dem Dropdown-Menü aus. VMware SD-WAN unterstützt die folgenden CSS-Typen:
- Generischer Cloud-Security-Service (Generic Cloud Security Service)
- Symantec-/Palo Alto-Cloud-Security-Service
- Zscaler-Cloud-Security-Service (Zscaler Cloud Security Service)
- Wenn Sie als Diensttyp (Service Type) entweder den Cloud-Security-Service „Generisch (Generic)“ oder „Symantec/Palo Alto“ ausgewählt haben, konfigurieren Sie die folgenden Felder und klicken Sie dann auf Änderungen speichern (Save Changes).
Option Beschreibung Dienstname (Service Name) Geben Sie einen beschreibenden Namen für den Cloud-Security-Service ein. Primärer Point-of-Presence/Server (Primary Point-of-Presence/Server) Geben Sie die IP-Adresse oder den Hostnamen für den primären Server ein. Sekundärer Point-of-Presence/Server (Secondary Point-of-Presence/Server) Geben Sie die IP-Adresse oder den Hostnamen für den sekundären Server ein. Dieses Feld ist optional. - Wenn Sie Zscaler-Cloud-Security-Service (Zscaler Cloud Security Service) als Diensttyp (Service Type) ausgewählt haben, konfigurieren Sie die folgenden Felder und klicken Sie dann auf Änderungen speichern (Save Changes).
Option Beschreibung Dienstname (Service Name) Geben Sie einen beschreibenden Namen für den Cloud-Security-Service ein. Bereitstellung von Cloud-Dienst automatisieren Aktivieren Sie das Kontrollkästchen, um die Automatisierungsbereitstellung auszuwählen. URL für die Anmeldung bei Zscaler Sie können die vorhandene Zscaler-URL aus der Dropdown-Liste verwenden oder eine neue URL eingeben. Primärer Server Geben Sie die IP-Adresse oder den Hostnamen für den primären Server ein. Sekundärer Server Geben Sie die IP-Adresse oder den Hostnamen für den sekundären Server ein. Dieses Feld ist optional. L7-Integritätsprüfung (L7 Health Check) Aktivieren Sie das Kontrollkästchen, um den Systemzustand von Zscaler Server zu überwachen. Hinweis: Für einen bestimmten Edge/Profil kann ein Benutzer die im Netzwerkdienst konfigurierten L7-Integritätsprüfungsparameter nicht außer Kraft setzen.HTTP-Prüfintervall (HTTP Probe Interval) Zeigt die Dauer des Intervalls zwischen den einzelnen HTTP-Prüfungen an. Das Standardprüfintervall beträgt 5 Sekunden. Anzahl der Wiederholungen (Number of Retries) Wählen Sie die Anzahl der zulässigen Wiederholungen aus, bevor der Cloud-Dienst als „INAKTIV (DOWN)“ markiert wird. Der Standardwert ist 3. RTT-Schwellenwert (RTT Threshold) Der Schwellenwert für die Round-Trip-Zeit (RTT), ausgedrückt in Millisekunden, der zum Berechnen des Cloud-Dienststatus verwendet wird. Der Cloud-Dienst ist als „INAKTIV (DOWN)“ markiert, wenn die gemessene RTT über dem konfigurierten Schwellenwert liegt. Der Standardwert ist 3000 Millisekunden. Zscaler-Anmelde-URL (Zscaler Login URL) Geben Sie die Anmelde-URL ein und klicken Sie dann auf Bei Zscaler anmelden (Login to Zscaler). Dadurch werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet. Hinweis: Der Link Bei Zscaler anmelden (Login to Zscaler) wird nur aktiviert, wenn Sie die Zscaler-Anmelde-URL eingeben.
- Im Folgenden finden Sie die anderen Optionen, die im Abschnitt Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) verfügbar sind:
Option Beschreibung Löschen Wählen Sie ein Element aus und klicken Sie auf diese Option, um es zu löschen. Spalten Wählen Sie mit einem Klick die Spalten aus, die auf der Seite angezeigt oder ausgeblendet werden sollen. Hinweis: Klicken Sie auf das Informationssymbol oben in der Tabelle, um das konzeptionelle Diagramm anzuzeigen, und bewegen Sie dann den Mauszeiger über das Diagramm, um weitere Details zu erhalten.