In diesem Thema wird beschrieben, wie eine Nicht-SD-WAN-Ziel vom Typ Generischer IKEv1-Router (Routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN)) über SD-WAN Edge in SASE Orchestrator konfiguriert wird.

Prozedur

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
    Der Bildschirm Netzwerkdienste (Network Services) wird angezeigt.
  2. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) auf die Schaltfläche Neu (New).
    Das Dialogfeld Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) wird geöffnet.
  3. Geben Sie im Textfeld Dienstname (Service Name) einen Namen für die Nicht-SD-WAN-Ziel ein.
  4. Wählen Sie im Dropdown-Menü Diensttyp (Service Type) den Eintrag Generischer IKEv1-Router (Routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN)) als IPsec-Tunneltyp aus.
  5. Klicken Sie auf die Registerkarte IKE/IPsec-Einstellungen (IKE/IPSec Settings) und konfigurieren Sie die folgenden Parameter:
    Option Beschreibung
    IP-Version (IP Version) Wählen Sie im Dropdown-Menü eine IP-Version (IPv4 oder IPv6) der aktuellen Nicht-SD-WAN-Ziel aus.
    Primäres VPN-Gateway (Primary VPN Gateway)
    Öffentliche IP (Public IP) Geben Sie eine gültige IPv4- oder IPv6-Adresse ein. Dieses Feld ist obligatorisch.
    Erweiterte Einstellungen für IKE-Vorschlag anzeigen (View advanced settings for IKE Proposal): Erweitern Sie diese Option, um die folgenden Felder anzuzeigen.
    Verschlüsselung (Encryption) Wählen Sie aus der Dropdown-Liste die Schlüsselgröße des AES-Algorithmus zur Verschlüsselung der Daten aus. Verfügbare Optionen: AES 128, AES 256, AES 128 GCM, AES 256 GCM und Auto. Der Standardwert ist AES 128.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppenalgorithmus aus der Dropdown-Liste aus. Dieser Algorithmus wird zum Generieren von Schlüsselmaterial verwendet. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Unterstützte DH-Gruppen: 2, 5, 14, 15, 16, 19, 20 und 21. Der Standardwert ist 14.
    Hash Wählen Sie eine der folgenden unterstützten Secure Hash Algorithm (SHA)-Funktionen aus der Dropdown-Liste aus:
    • SHA 1
    • SHA 256
    • SHA 384
      Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
    • SHA 512
      Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
    • Automatisch

    Der Standardwert ist SHA 256.
    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie den Zeitpunkt ein, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 und die maximale Dauer 1440 Minuten. Der Standardwert ist 1440 Sekunden.
    Hinweis: Die erneute Schlüsselerstellung muss initiiert werden, bevor 75-80 % der Lebensdauer ablaufen.
    DPD-Zeitüberschreitung (Sek.) (DPD Timeout(sec)) Geben Sie den DPD-Zeitüberschreitungswert ein. Der DPD-Zeitüberschreitungswert wird dem internen DPD-Timer hinzugefügt (siehe folgende Beschreibung). Warten Sie auf eine Antwort auf die DPD-Nachricht, bevor Sie den Peer als inaktiv betrachten (Erkennung inaktiver Peers).
    Vor Version 5.1.0 beträgt der Standardwert 20 Sekunden. Für Version 5.1.0 und höher finden Sie den Standardwert in der nachstehenden Liste.
    • Bibliotheksname: Quicksec
    • Prüfintervall: Exponentiell (0,5 Sekunden, 1 Sekunde, 2 Sekunden, 4 Sekunden, 8 Sekunden, 16 Sekunden)
    • Standardmäßiges minimales DPD-Intervall: 47,5 Sekunden (Quicksec wartet 16 Sekunden nach der letzten Wiederholung. Daher 0,5+1+2+4+8+16+16 = 47,5).
    • Standardmäßiges minimales DPD-Intervall + DPD-Zeitüberschreitung (Sekunden): 67,5 Sekunden
    Hinweis: Für Version 5.1.0 und höher können Sie DPD nicht deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Der DPD-Zeitüberschreitungswert in Sekunden wird zu dem standardmäßigen Mindestwert von 47,5 Sekunden hinzugefügt.
    Erweiterte Einstellungen für IPsec-Vorschlag anzeigen (View advanced settings for IPsec Proposal): Erweitern Sie diese Option, um die folgenden Felder anzuzeigen.
    Verschlüsselung (Encryption) Wählen Sie aus der Dropdown-Liste die Schlüsselgröße des AES-Algorithmus zur Verschlüsselung der Daten aus. Verfügbare Optionen: Keine (None), AES 128 und AES 256. Der Standardwert ist AES 128.
    PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Unterstützte PFS-Ebenen: 2, 5, 14, 15, 16, 19, 20 und 21. Der Standardwert ist 14.
    Hash Wählen Sie eine der folgenden unterstützten Secure Hash Algorithm (SHA)-Funktionen aus der Dropdown-Liste aus:
    • SHA 1
    • SHA 256
    • SHA 384
      Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.
    • SHA 512
      Hinweis: Dieser Wert ist für den Diensttyp Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN) nicht verfügbar.

    Der Standardwert ist SHA 256.
    IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie den Zeitpunkt ein, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPsec-Lebensdauer beträgt 3 und die maximale Dauer 480 Minuten. Der Standardwert ist 480 Sekunden.
    Hinweis: Die erneute Schlüsselerstellung muss initiiert werden, bevor 75-80 % der Lebensdauer ablaufen.
    Sekundäres VPN-Gateway (Secondary VPN Gateway)
    Hinzufügen (Add): Klicken Sie auf diese Option, um ein sekundäres VPN-Gateway hinzuzufügen. Die folgenden Felder werden angezeigt.
    Öffentliche IP (Public IP) Geben Sie eine gültige IPv4- oder IPv6-Adresse ein.
    Entfernen (Remove) Löscht das sekundäre VPN-Gateway.
    Aktiven Tunnelstatus beibehalten (Keep Tunnel Active) Aktivieren Sie das Kontrollkästchen „Aktiven Tunnelstatus beibehalten (Keep Tunnel Active)“, um den sekundären VPN-Tunnel für diese Site aktiv zu halten.
    Tunneleinstellungen sind identisch mit dem primären VPN-Gateway Aktivieren Sie dieses Kontrollkästchen, wenn Sie dieselben erweiterten Einstellungen für primäre und sekundäre Gateways anwenden möchten. Sie können die Einstellungen für das sekundäre VPN-Gateway manuell eingeben.
    Hinweis: Wenn AWS den Neuverschlüsselungstunnel mit einem VMware SD-WAN Gateway (in Nicht-SD-WAN-Zielen) initiiert, kann ein Fehler auftreten und ein Tunnel wird nicht eingerichtet. Dies kann zu Unterbrechungen beim Datenverkehr führen. Beachten Sie Folgendes:
    • IPsec-SA-Lebensdauer (Min.)-Timerkonfigurationen für das SD-WAN Gateway müssen weniger als 60 Minuten (50 Minuten empfohlen) betragen, damit sie mit der Standardkonfiguration für IPsec in AWS übereinstimmen.
    • Die Werte DH-Gruppe (DH Group) und PFS müssen übereinstimmen.

    Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.

  6. Klicken Sie auf die Registerkarte Site-Subnetze (Site Subnets) und konfigurieren Sie Folgendes:
    Option Beschreibung
    Hinzufügen (Add) Klicken Sie auf diese Option, um ein Subnetz und eine Beschreibung für das Nicht-SD-WAN-Ziel hinzuzufügen.
    Löschen (Delete) Klicken Sie auf diese Option, um das ausgewählte Subnetz zu löschen.
    Hinweis: Zur Unterstützung des Datencentertyps von Nicht-SD-WAN-Ziel müssen Sie neben der IPSec-Verbindung lokale Nicht-SD-WAN-Ziel-Subnetze im VMware-System konfigurieren.
  7. Klicken Sie auf Speichern (Save).

Nächste Maßnahme