Realice los siguientes pasos para configurar una instancia de Destino que no es de SD-WAN de tipo Firewall genérico (VPN basada en directivas) (Generic Firewall [Policy Based VPN]) en SASE Orchestrator.

Procedimiento

  1. Una vez que se haya creado una configuración de Destino que no es de SD-WAN de tipo Firewall genérico (VPN basada en directivas) (Generic Firewall [Policy Based VPN]), se le redirigirá a una página de opciones de configuración adicional:
    Nota: La puerta de enlace de VPN secundaria no es compatible con el tipo de servicio de red Firewall genérico (VPN basada en directivas) (Generic Firewall [Policy Based VPN]).
  2. Puede configurar los siguientes ajustes de túnel:
    Opción Descripción
    General
    Nombre (Name) Puede editar el nombre introducido anteriormente para Destino que no es de SD-WAN.
    Tipo (Type) Muestra el tipo como Firewall genérico (VPN basada en directivas) (Generic Firewall [Policy Based VPN]). No puede editar esta opción.
    Habilitar túneles (Enable Tunnel(s)) Haga clic en el botón de alternancia para iniciar el túnel o túneles desde SD-WAN Gateway a la puerta de enlace de VPN de Firewall genérico.
    Modo de túnel (Tunnel Mode) Muestra Activo/En espera en caliente (Active/Hot-Standby), que indica que si el túnel activo deja de estar activo, el túnel en espera en caliente toma el control y se convierte en el túnel activo.
    Puerta de enlace VPN principal (Primary VPN Gateway)
    IP pública (Public IP) Muestra la dirección IP de la puerta de enlace de VPN principal.
    PSK La clave compartida previamente (Pre-Shared Key, PSK), que es la clave de seguridad para la autenticación en el túnel. SASE Orchestrator genera una PSK de forma predeterminada. Si desea usar su propia PSK o contraseña, puede introducirla en el cuadro de texto.
    Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.
    Cifrado (Encryption) Seleccione AES -128 o AES -256 como el tamaño de la clave de algoritmos para cifrar los datos. El valor predeterminado es AES -128.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) en el menú desplegable. Se utiliza para generar material de claves. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5 y 14. El valor predeterminado es 2.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son desactivado (deactivated), 2 y 5. El valor predeterminado es desactivado (deactivated).
    Identificador de autenticación local (Local Auth Id) El identificador de autenticación local define el formato y la identificación de la puerta de enlace local. En el menú desplegable, elija entre los siguientes tipos e introduzca un valor:
    • FQDN: el nombre de dominio completo o el nombre de host. Por ejemplo: vmware.com
    • FQDN de usuario (User FQDN): el nombre de dominio completo del usuario en forma de dirección de correo electrónico. Por ejemplo: [email protected]
    • IPv4: la dirección IP utilizada para comunicarse con la puerta de enlace local.
    • IPv6: la dirección IP utilizada para comunicarse con la puerta de enlace local.
    Nota:
    • Si no especifica un valor, se utiliza Predeterminado (Default) como el identificador de autenticación local.
    • El valor de identificador de autenticación local predeterminado es la dirección IP local de la interfaz de SD-WAN Gateway.
    IKE/IPsec de muestra (Sample IKE / IPsec) Haga clic para ver la información necesaria para configurar la puerta de enlace de Destino que no es de SD-WAN. El administrador de puerta de enlace debe utilizar esta información para configurar los túneles de VPN de puerta de enlace.
    Nota: Actualmente, la versión de IKE compatible es IKEv1.
    Ubicación (Location) Haga clic en Editar (Edit) para establecer la ubicación del Destino que no es de SD-WAN configurado. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de Edge o puerta de enlace a la que conectarse en la red.
    Subredes de sitio (Site Subnets) Utilice el botón de alternancia para activar o desactivar las Subredes de sitio (Site Subnets). Haga clic en Agregar (Add) para agregar subredes para Destino que no es de SD-WAN. Si no necesita subredes para el sitio, seleccione la subred y haga clic en Eliminar (Delete).
    Nota:
    • Para admitir el tipo de centro de datos de Destino que no es de SD-WAN, además de la conexión de IPsec, debe configurar subredes locales de Destino que no es de SD-WAN en el sistema VMware.
    • Si no hay subredes de sitio configuradas, desactive Subredes de sitio (Site Subnets) para activar el túnel.
    Subredes de sitio personalizadas (Custom Site Subnets) Utilice esta sección para anular las subredes de origen enrutadas a este dispositivo VPN. Por lo general, las subredes de origen se derivan de las subredes de LAN de Edge enrutadas a este dispositivo.
  3. Haga clic en Guardar cambios (Save Changes).