Este servicio permite crear configuraciones de túnel VPN para acceder a una o varias instancias de Destinos que no son de SD-WAN. VMware proporciona la configuración necesaria para crear túneles, incluidas la creación de la configuración IPsec de IKE y la generación de una clave previamente compartida.

Descripción general

En la siguiente figura se muestra una descripción general de los túneles VPN que se pueden crear entre VMware y una instancia de Destino que no es de SD-WAN.

Nota: Se requiere que se especifique una dirección IP para una puerta de enlace de VPN principal en Destino que no es de SD-WAN. La dirección IP se utiliza para formar un túnel de VPN principal entre una instancia de SD-WAN Gateway y la puerta de enlace de VPN principal.

De forma opcional, se puede especificar una dirección IP para que una puerta de enlace de VPN secundaria forme un túnel VPN secundario entre una instancia de SD-WAN Gateway y la puerta de enlace de VPN secundaria. Se pueden especificar túneles de VPN redundantes para los túneles de VPN que cree.

Configurar una instancia de Destino que no es de SD-WAN de tipo Puerta de enlace de VPN de AWS

Una vez que se haya creado una configuración de Destino que no es de SD-WAN de tipo Puerta de enlace de VPN de AWS (AWS VPN Gateway), se le redirigirá a una página de opciones de configuración adicional:
Puede configurar las siguientes opciones de túnel y hacer clic en Guardar cambios (Save Changes).
Opción Descripción
General
Nombre Puede editar el nombre introducido anteriormente para Destino que no es de SD-WAN.
Tipo Muestra el tipo como Puerta de enlace de VPN de AWS (AWS VPN Gateway). No puede editar esta opción.
Habilitar túneles Haga clic en el botón de alternancia para iniciar el túnel o túneles desde SD-WAN Gateway a la puerta de enlace de VPN de AWS.
Modo de túnel (Tunnel Mode) Muestra Activo/En espera en caliente (Active/Hot-Standby), que indica que si el túnel activo deja de estar activo, el túnel en espera en caliente toma el control y se convierte en el túnel activo.
Puerta de enlace VPN principal (Primary VPN Gateway)
IP pública (Public IP) Muestra la dirección IP de la puerta de enlace de VPN principal.
PSK La clave compartida previamente (Pre-Shared Key, PSK), que es la clave de seguridad para la autenticación en el túnel. SASE Orchestrator genera una PSK de forma predeterminada. Si desea usar su propia PSK o contraseña, puede introducirla en el cuadro de texto.
Cifrado (Encryption) Seleccione AES -128 o AES -256 como el tamaño de la clave de algoritmos para cifrar los datos. El valor predeterminado es AES -128.
Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) en el menú desplegable. Se utiliza para generar material de claves. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5 y 14. El valor predeterminado es 2.
PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son desactivado (deactivated), 2 y 5. El valor predeterminado es 2.
Algoritmo de autenticación (Authentication Algorithm)

Seleccione el algoritmo de autenticación para el encabezado de VPN. Seleccione una de las funciones de algoritmo de hash seguro (SHA) compatibles en el menú desplegable:

  • SHA1
  • SHA256
  • SHA384
  • SHA512

El valor predeterminado es SHA 1.

Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de SD-WAN Edge. La duración mínima de IKE es de 10 minutos y la máxima, de 1440 minutos. El valor predeterminado es 1440 minutos.
Duración de SA de IPsec (IPsec SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPsec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y máxima, de 480 minutos. El valor predeterminado es 480 minutos.
Tipo de DPD (DPD Type) El método Dead Peer Detection (DPD) se utiliza para detectar si el elemento del mismo nivel de intercambio de claves de Internet (IKE) está activo o inactivo. Si se detecta que el elemento del mismo nivel está inactivo, el dispositivo elimina la asociación de seguridad de IPsec e IKE. Seleccione Periódica (Periodic) o A pedido (onDemand) en el menú desplegable. El valor predeterminado es A pedido (onDemand).
Tiempo de espera de DPD (s) (DPD Timeout(sec)) Introduzca el valor de tiempo de espera de DPD. El valor de tiempo de espera de DPD se agregará al temporizador de DPD interno, como se describe a continuación. Espere una respuesta del mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo (Dead Peer Detection).
Antes de la versión 5.1.0, el valor predeterminado era de 20 segundos. Para la versión 5.1.0 y versiones posteriores, consulte la siguiente lista para ver el valor predeterminado.
  • Nombre de biblioteca: Quicksec
  • Intervalo de sondeo: exponencial (0,5 segundos, 1 segundo, 2 segundos, 4 segundos, 8 segundos, 16 segundos)
  • Intervalo de DPD mínimo predeterminado: 47,5 segundos (Quicksec espera 16 segundos después del último reintento. Por lo tanto, 0,5 + 1 + 2 + 4 + 8 + 16 + 16 = 47,5).
  • Intervalo de DPD mínimo predeterminado + Tiempo de espera de DPD (segundos): 67,5 segundos
Nota: Antes de la versión 5.1.0, puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. Sin embargo, para la versión 5.1.0 y versiones posteriores, no se puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. El valor de tiempo de espera de DPD en segundos se agregará al valor mínimo predeterminado de 47,5 segundos.
Puerta de enlace VPN secundaria (Secondary VPN Gateway) Haga clic en el botón Agregar (Add) e introduzca la dirección IP de la puerta de enlace de VPN secundaria. Haga clic en Guardar cambios (Save Changes).

La puerta de enlace de VPN secundaria se crea inmediatamente para este sitio y aprovisiona un túnel VPN de VMware a esta puerta de enlace.

VPN de nube de VMware redundante Seleccione la casilla de verificación para agregar túneles redundantes para cada puerta de enlace de VPN. Los cambios que se realicen en Cifrado (Encryption), Grupo DH (DH Group) o PFS de la puerta de enlace de VPN principal también se aplican a los túneles VPN redundantes, si están configurados.
Identificador de autenticación local El identificador de autenticación local define el formato y la identificación de la puerta de enlace local. En el menú desplegable, elija entre los siguientes tipos e introduzca un valor:
  • FQDN: el nombre de dominio completo o el nombre de host. Por ejemplo: vmware.com
  • FQDN de usuario (User FQDN): el nombre de dominio completo del usuario en forma de dirección de correo electrónico. Por ejemplo: [email protected]
  • IPv4: la dirección IP utilizada para comunicarse con la puerta de enlace local.
  • IPv6: la dirección IP utilizada para comunicarse con la puerta de enlace local.
Nota: Si no especifica un valor, se utiliza Predeterminado (Default) como el identificador de autenticación local.
IKE/IPsec de muestra Haga clic para ver la información necesaria para configurar la puerta de enlace de Destino que no es de SD-WAN. El administrador de puerta de enlace debe utilizar esta información para configurar los túneles de VPN de puerta de enlace.
Ubicación Haga clic en Editar (Edit) para establecer la ubicación del Destino que no es de SD-WAN configurado. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de Edge o puerta de enlace a la que conectarse en la red.
Subredes de sitio Utilice el botón de alternancia para activar o desactivar las Subredes de sitio (Site Subnets). Haga clic en Agregar (Add) para agregar subredes para Destino que no es de SD-WAN. Si no necesita subredes para el sitio, seleccione la subred y haga clic en Eliminar (Delete).
Nota:
  • Para admitir el tipo de centro de datos de Destino que no es de SD-WAN, además de la conexión de IPsec, debe configurar subredes locales de Destino que no es de SD-WAN en el sistema VMware.
  • Si no hay subredes de sitio configuradas, desactive Subredes de sitio (Site Subnets) para activar el túnel.