Se describe la forma de configurar una instancia de Destino que no es de SD-WAN de tipo Firewall genérico (VPN basada en directivas) (Generic Firewall [Policy Based VPN]) en SD-WAN Orchestrator.
Procedimiento
- En el panel de navegación de SD-WAN Orchestrator, vaya a Configurar (Configure) > Servicios de red (Network Services).
Se mostrará la pantalla Servicios (Services).
- En el área Destinos que no son de SD-WAN a través de puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en el botón Nuevo (New).
Aparece el cuadro de diálogo Nuevos destinos que no son de SD-WAN a través de puerta de enlace (New Non SD-WAN Destinations via Gateway).
- En el cuadro de texto Nombre (Name), introduzca el nombre para Destino que no es de SD-WAN.
- En el menú desplegable Tipo (Type), seleccione Firewall genérico (VPN basada en directivas) (Generic Firewall [Policy Based VPN]).
- Introduzca la dirección IP de la puerta de enlace de VPN principal y haga clic en Siguiente (Next).
Se creará una instancia de Destino que no es de SD-WAN de tipo Firewall genérico (VPN basada en directivas) y aparecerá un cuadro de diálogo para Destino que no es de SD-WAN.
- Si desea configurar los ajustes de túnel para la puerta de enlace de VPN principal de Destino que no es de SD-WAN, haga clic en el botón Avanzado (Advanced).
- En el área Puerta de enlace VPN principal (Primary VPN Gateway), puede configurar los siguientes ajustes de túnel:
Campo Descripción PSK La clave compartida previamente (Pre-Shared Key, PSK), que es la clave de seguridad para la autenticación en el túnel. Orchestrator genera una PSK de forma predeterminada. Si desea utilizar su propia PSK o contraseña, puede introducirla en el cuadro de texto. Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave de algoritmos para cifrar los datos. El valor predeterminado es AES 128. Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5 y 14. Se recomienda utilizar el grupo de DH 14. PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2 y 5. El valor predeterminado es desactivado (deactivated). Nota: La puerta de enlace de VPN secundaria no es compatible con el tipo de servicio de red de Firewall genérico (VPN basada en directivas). - Seleccione la casilla de verificación VPN de nube de VeloCloud redundante (Redundant VeloCloud Cloud VPN) para agregar túneles redundantes en cada puerta de enlace de VPN.
Los cambios que se realicen en el cifrado, el grupo DH o el PFS de la puerta de enlace de VPN principal también se aplicarán a los túneles VPN redundantes, si están configurados. Después de modificar la configuración del túnel de la puerta de enlace de VPN principal, guarde los cambios y, a continuación, haga clic en Ver plantilla de IKE/IPSec (View IKE/IPSec Template) para ver la configuración de túnel actualizada.Nota: Actualmente, la versión de IKE compatible es IKEv1.
- Haga clic en el vínculo Actualizar ubicación (Update Location) para establecer la ubicación de la instancia de Destino que no es de SD-WAN configurada. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de Edge o puerta de enlace a la que conectarse en la red.
- El identificador de autenticación local define el formato y la identificación de la puerta de enlace local. En el menú desplegable Identificador de autenticación local (Local Auth Id), seleccione uno de los siguientes tipos e introduzca un valor determinado:
- FQDN: el nombre de dominio completo o el nombre de host. Por ejemplo, google.com.
- FQDN de usuario (User FQDN): el nombre de dominio completo del usuario en forma de dirección de correo electrónico. Por ejemplo, [email protected].
- IPv4: la dirección IP utilizada para comunicarse con la puerta de enlace local.
Nota:Respecto al firewall genérico (VPN basada en directivas), si el usuario no especifica un valor, se utiliza Predeterminado (Default) como identificador de autenticación local. El valor de identificador de autenticación local predeterminado será la dirección IP local de la interfaz de SD-WAN Gateway.
- En Subredes de sitio (Site Subnets), puede agregar subredes para Destino que no es de SD-WAN haciendo clic en el botón +. Si no necesita subredes para el sitio, seleccione la casilla de verificación Desactivar subredes de sitio (Deactivate Site Subnets).
- Use Subredes de origen personalizadas (Custom Source Subnets) para reemplazar las subredes de origen enrutadas a este dispositivo VPN. Por lo general, las subredes de origen se derivan de las subredes de LAN de Edge enrutadas a este dispositivo.
- Seleccione la casilla de verificación Habilitar túneles (Enable Tunnels) una vez que esté listo para iniciar el túnel desde SD-WAN Gateway hasta las puertas de enlace VPN de Firewall genérico (VPN basada en directivas).
- Haga clic en Guardar cambios (Save Changes).