Se describe la forma de configurar una instancia de Destino que no es de SD-WAN de tipo Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]) a través de SD-WAN Edge en SD-WAN Orchestrator.
Procedimiento
- En el panel de navegación de SD-WAN Orchestrator, vaya a Configurar (Configure) > Servicios de red (Network Services).
Se mostrará la pantalla Servicios (Services).
- En el área Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge), haga clic en el botón Nuevo (New).
Aparece el cuadro de diálogo Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge).
- En el cuadro de texto Nombre de servicio (Service Name), introduzca un nombre para Destino que no es de SD-WAN.
- En el menú desplegable Tipo de servicio (Service Type), seleccione Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]) como el tipo de túnel de IPsec.
- Haga clic en Siguiente (Next).
Se creará una instancia de Destino que no es de SD-WAN basada en rutas de tipo IKEv2 y aparecerá un cuadro de diálogo para Destino que no es de SD-WAN.
- En Puerta de enlace VPN principal (Primary VPN Gateway), en el cuadro de texto IP pública (Public IP), introduzca la dirección IP de la puerta de enlace VPN principal.
- Si desea configurar los ajustes de túnel para la puerta de enlace de VPN principal de Destino que no es de SD-WAN, haga clic en el botón Avanzado (Advanced).
- En el área Puerta de enlace VPN principal (Primary VPN Gateway), puede configurar los siguientes ajustes de túnel:
Campo Descripción Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave de algoritmos para cifrar los datos. Si no desea cifrar los datos, seleccione Nulo (Null). El valor predeterminado es AES 128. Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15 y 16. Se recomienda utilizar el grupo de DH 14. PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. El valor predeterminado es Desactivado (Deactivated). Hash El algoritmo de autenticación para el encabezado de VPN. Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista: - SHA 1
- SHA 256
- SHA 384
- SHA 512
El valor predeterminado es SHA 256.
Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la máxima, de 1440 minutos. El valor predeterminado es 1440 minutos. Duración de SA de IPsec (IPsec SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPsec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y máxima, de 480 minutos. El valor predeterminado es 480 minutos. Temporizador de tiempo de espera de DPD (s) (DPD Timeout Timer(sec)) Introduzca el valor de tiempo de espera de DPD. El valor de tiempo de espera de DPD se agregará al temporizador de DPD interno, como se describe a continuación. Espere una respuesta del mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo (Dead Peer Detection). Antes de la versión 5.1.0, el valor predeterminado era de 20 segundos. Para la versión 5.1.0 y versiones posteriores, consulte la siguiente lista para ver el valor predeterminado.- Nombre de biblioteca: Quicksec
- Intervalo de sondeo: exponencial (0,5 segundos, 1 segundo, 2 segundos, 4 segundos, 8 segundos, 16 segundos)
- Intervalo de DPD mínimo predeterminado: 47,5 segundos (Quicksec espera 16 segundos después del último reintento. Por lo tanto, 0,5 + 1 + 2 + 4 + 8 + 16 + 16 = 47,5).
- Intervalo de DPD mínimo predeterminado + Tiempo de espera de DPD (segundos): 67,5 segundos
Nota: Antes de la versión 5.1.0, puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. Sin embargo, para la versión 5.1.0 y versiones posteriores, no se puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. El valor de tiempo de espera de DPD en segundos se agregará al valor mínimo predeterminado de 47,5 segundos.Nota: Cuando AWS inicia el túnel de regeneración de claves con una VMware SD-WAN Gateway (en destinos que no son de SD-WAN), se puede producir un error y no se establecerá un túnel, lo que puede causar la interrupción del tráfico. Considere lo siguiente:- Las configuraciones del temporizador de duración de SA de IPsec (min) para la SD-WAN Gateway deben ser inferiores a 60 minutos (se recomiendan 50 minutos) para que coincida con la configuración de IPsec predeterminada de AWS.
- Los grupos DH y PFS DH deben coincidir.
- Si desea crear una puerta de enlace VPN secundaria para este sitio, seleccione la casilla de verificación Puerta de enlace VPN secundaria (Secondary VPN Gateway) y, a continuación, introduzca la dirección IP de la puerta de enlace VPN secundaria en el cuadro de texto IP pública (Public IP).
La puerta de enlace de VPN secundaria se creará inmediatamente para este sitio y aprovisionará un túnel VPN de VMware a esta puerta de enlace.
- Seleccione la casilla de verificación Mantener túnel activo (Keep Tunnel Active) para mantener el túnel VPN secundario activo para este sitio.
- Seleccione la casilla de verificación La configuración de túnel es igual que la puerta de enlace VPN principal (Tunnel settings are same as Primary VPN Gateway) para aplicar la misma configuración de túnel que la de la puerta de enlace VPN principal.
Los cambios en la configuración del túnel que se realicen en la puerta de enlace VPN principal también se aplicarán a los túneles VPN secundarios, si están configurados.
- En Subredes de sitio (Site Subnets), puede agregar subredes para Destino que no es de SD-WAN haciendo clic en el botón +.
Nota: Para admitir el tipo de centro de datos de Destino que no es de SD-WAN, además de la conexión de IPSec, deberá configurar subredes locales de Destino que no es de SD-WAN en el sistema VMware.
- Haga clic en Guardar cambios (Save Changes).