Describe cómo configurar un VMware SD-WAN Site de tipo Puerta de enlace de VPN de AWS.

Acerca de esta tarea

Puede configurar destinos que no son de SD-WAN a través de la puerta de enlace solo se pueden configurar en el nivel de perfil y no se pueden anular en el nivel de SD-WAN Edge.

Procedimiento

  1. En el panel de navegación de SD-WAN Orchestrator, vaya a Configurar (Configure) > Servicios de red (Network Services).

    Se mostrará la pantalla Servicios (Services).

  2. En el área Destinos que no son de SD-WAN a través de puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en el botón Nuevo (New).

    Aparece el cuadro de diálogo Nuevos destinos que no son de SD-WAN a través de puerta de enlace (New Non SD-WAN Destinations via Gateway).

  3. En el cuadro de texto Nombre (Name), introduzca el nombre para Destino que no es de SD-WAN.
  4. En el menú desplegable Tipo (Type), seleccione Puerta de enlace de VPN de AWS (AWS VPN Gateway).

  5. Introduzca la dirección IP de la puerta de enlace de VPN principal y haga clic en Siguiente (Next).

    Se creará una instancia de Destino que no es de SD-WAN de tipo Puerta de enlace de VPN de AWS (AWS VPN Gateway) y aparecerá un cuadro de diálogo para Destino que no es de SD-WAN.

  6. Si desea configurar los ajustes de túnel para la puerta de enlace de VPN principal de Destino que no es de SD-WAN, haga clic en el botón Avanzado (Advanced).

  7. En el área Puerta de enlace de VPN principal (Primary VPN Gateway), puede configurar los siguientes ajustes de túnel:
    Campo Descripción
    Modo de túnel (Tunnel Mode) Se admite Activo/En espera en caliente (Active/Hot-Standby) en SD-WAN Gateway. Activo/En espera en caliente (Active/Hot-Standby) se muestra automáticamente e indica que si el túnel activo deja de estar activo, el túnel en espera en caliente toma el control y se convierte en el túnel activo.
    PSK La clave compartida previamente (Pre-Shared Key, PSK), que es la clave de seguridad para la autenticación en el túnel. SD-WAN Orchestrator genera una PSK de forma predeterminada. Si desea utilizar su propia PSK o contraseña, puede introducirla en el cuadro de texto.
    Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave de algoritmos para cifrar los datos. El valor predeterminado es AES 128.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5 y 14. Se recomienda utilizar el grupo de DH 14.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2 y 5. El valor predeterminado es Desactivado (Deactivated).
    Algoritmo de autenticación (Authentication Algorithm) El algoritmo de autenticación para el encabezado de VPN. Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista del menú desplegable:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    El valor predeterminado es SHA 1.
    Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de SD-WAN Edge. La duración mínima de IKE es de 10 minutos y la máxima, de 1440 minutos. El valor predeterminado es 1440 minutos.
    Duración de SA de IPsec (IPsec SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPsec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y máxima, de 480 minutos. El valor predeterminado es 480 minutos.
    Tipo de DPD (DPD Type) El método Dead Peer Detection (DPD) se utiliza para detectar si el elemento del mismo nivel de intercambio de claves de Internet (IKE) está activo o inactivo. Si se detecta que el elemento del mismo nivel está inactivo, el dispositivo elimina la asociación de seguridad de IPsec e IKE. Seleccione Periódica (Periodic) o A pedido (On Demand) de la lista. El valor predeterminado es A pedido (On Demand).
    Tiempo de espera de DPD (s) (DPD Timeout(sec)) Introduzca el valor de tiempo de espera de DPD. El valor de tiempo de espera de DPD se agregará al temporizador de DPD interno, como se describe a continuación. Espere una respuesta del mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo (Dead Peer Detection).
    Antes de la versión 5.1.0, el valor predeterminado era de 20 segundos. Para la versión 5.1.0 y versiones posteriores, consulte la siguiente lista para ver el valor predeterminado.
    • Nombre de biblioteca: Quicksec
    • Intervalo de sondeo: exponencial (0,5 segundos, 1 segundo, 2 segundos, 4 segundos, 8 segundos, 16 segundos)
    • Intervalo de DPD mínimo predeterminado: 47,5 segundos (Quicksec espera 16 segundos después del último reintento. Por lo tanto, 0,5 + 1 + 2 + 4 + 8 + 16 + 16 = 47,5).
    • Intervalo de DPD mínimo predeterminado + Tiempo de espera de DPD (segundos): 67,5 segundos
    Nota: Antes de la versión 5.1.0, puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. Sin embargo, para la versión 5.1.0 y versiones posteriores, no se puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. El valor de tiempo de espera de DPD en segundos se agregará al valor mínimo predeterminado de 47,5 segundos.
  8. Para crear una puerta de enlace de VPN secundaria para este sitio, haga clic en el botón Agregar (Add) junto a Puerta de enlace VPN secundaria (Secondary VPN Gateway). En la ventana emergente, introduzca la dirección IP de la puerta de enlace de VPN secundaria y haga clic en Guardar cambios (Save Changes).

    La puerta de enlace de VPN secundaria se creará inmediatamente para este sitio y aprovisionará un túnel VPN de VMware a esta puerta de enlace.

  9. Seleccione la casilla de verificación VPN de nube de VeloCloud redundante (Redundant VeloCloud Cloud VPN) para agregar túneles redundantes en cada puerta de enlace de VPN. Los cambios que se realicen en el cifrado, el grupo DH o el PFS de la puerta de enlace de VPN principal también se aplicarán a los túneles VPN redundantes, si están configurados.
  10. Después de modificar la configuración del túnel de la puerta de enlace de VPN principal, guarde los cambios y, a continuación, haga clic en Ver plantilla de IKE/IPSec (View IKE/IPSec Template) para ver la configuración de túnel actualizada.

  11. Haga clic en el vínculo Actualizar ubicación (Update location) situado en la esquina superior derecha del cuadro de diálogo Destino que no es de SD-WAN a través de puerta de enlace (Non SD-WAN Destination Via Gateway) para establecer la ubicación del VMware SD-WAN Site configurado. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de SD-WAN Edge o SD-WAN Gateway a la que conectarse en la red.
  12. En el área Subredes de sitio (Site Subnets), puede agregar subredes para el VMware SD-WAN Site haciendo clic en el botón +. Use Subredes de origen personalizadas (Custom Source Subnets) para reemplazar las subredes de origen enrutadas a este dispositivo VPN. Por lo general, las subredes de origen se derivan de las subredes de LAN de SD-WAN Edge enrutadas a este dispositivo.
    Nota: Las subredes de sitio deben desactivarse para habilitar un túnel si no hay ninguna subred de sitio configurada.
  13. Seleccione la casilla de verificación Habilitar túneles (Enable Tunnels) una vez que esté listo para iniciar el túnel desde SD-WAN Gateway hasta las puertas de enlace de VPN de AWS.
  14. Haga clic en Guardar cambios (Save Changes).
  15. Asigne el servicio de red del sitio que no es de SD-WAN recién creado a un perfil. Para ello, vaya a Configurar (Configure) > Perfiles (Profiles) en SD-WAN Orchestrator. Consulte Configurar un túnel entre una sucursal y un destino que no es de SD-WAN a través de una puerta de enlace.
  16. Vuelva al área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations Via Gateway) en SD-WAN Orchestrator. Para eso, vaya a Configurar (Configure) > Servicios de red (Network Services).
  17. En el área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations Via Gateway), desplácese hasta el nombre del sitio que no es de SD-WAN y, a continuación, haga clic en el vínculo Editar (Edit) de la columna BGP.
  18. Configure los valores de BGP basados en AWS para los siguientes campos obligatorios: ASN local, tipo de túnel, IP de vecino e IP local (en la sección Opciones avanzadas [Advanced Options section]). NOTA: El tipo de túnel se actualiza de forma predeterminada. Si es necesario, consulte la documentación de AWS. Para obtener más información, consulte Configurar BGP mediante IPsec desde puertas de enlace.
  19. Haga clic en Aceptar (OK) para guardar los cambios.
  20. En el área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en el vínculo Editar (Edit) de la columna BFD de un Destino que no es de SD-WAN para configurar los ajustes de BFD. Para obtener más información, consulte Configurar BFD para puertas de enlace.

Pasos a continuación

Puede comprobar el estado general de los sitios que no son de SD-WAN en la pestaña de supervisión. Consulte lo siguiente: