VMware permite que los usuarios empresariales definan y configuren una instancia de Destino que no es de SD-WAN para establecer túneles IPSec v4 y v6 seguros directamente de SD-WAN Edge a Destino que no es de SD-WAN. Esta sección también permite configurar los servicios de seguridad de nube.

Procedimiento

  1. En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Servicios de red (Network Services) y, a continuación, en Destinos que no son de SD-WAN (Non SD-WAN Destinations), expanda Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge).
    1. En el área Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge), haga clic en Nuevo (New) o Nuevo NSD a través de Edge (New NSD via Edge) para crear un nuevo destino que no es de SD-WAN.
      Nota: La opción Nuevo NSD a través de Edge (New NSD via Edge) aparece solo cuando no hay elementos en la tabla.
    2. Están disponibles las siguientes opciones de configuración:
      Nota: Para admitir el tipo de centro de datos de Destino que no es de SD-WAN, además de la configuración de IKE/IPSec, debe configurar subredes locales de Destino que no es de SD-WAN en el sistema VMware.
      Opción Descripción
      General
      Nombre del servicio (Service Name) Introduzca un nombre para Destino que no es de SD-WAN. Este campo es obligatorio.
      Tipo de servicio (Service Type) Seleccione el tipo de servicio en el menú desplegable. Las opciones disponibles son Enrutador IKEv1 genérico (VPN basada en rutas) (Generic IKEv1 Router [Route Based VPN]), Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]) y WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan). Este campo es obligatorio.
      Modo de túnel Seleccione un modo de túnel en el menú desplegable. Las opciones disponibles son Activo/Activo (Active/Active), Activo/En espera en caliente (Active/Hot-Standby) y Activo/En espera (Active/Standby).
      Configuración de IKE/IPSec (IKE/IPSec Settings)
      Versión de IP En el menú desplegable, seleccione una versión de IP (IPv4 o IPv6) de la instancia actual de Destino que no es de SD-WAN.
      Puerta de enlace VPN principal (Primary VPN Gateway)
      IP pública (Public IP) Introduzca una dirección IPv4 o IPv6 válida. Este campo es obligatorio.
      Ver la configuración avanzada de la propuesta de IKE (View advanced settings for IKE Proposal): expanda esta opción para ver los siguientes campos.
      Cifrado (Encryption) Seleccione el tamaño de la clave del algoritmo AES en la lista desplegable para cifrar los datos. Las opciones disponibles son AES 128, AES 256, AES 128 GCM, AES 256 GCM y Automático (Auto). El valor predeterminado es AES 128.
      Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) en la lista desplegable. Se utiliza para generar material de claves. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15, 16, 19, 20 y 21. El valor predeterminado es 14.
      Hash Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista desplegable:
      • SHA 1
      • SHA 256
      • SHA 384
        Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
      • SHA 512
        Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
      • Automático

      El valor predeterminado es SHA 256.

      Duración de SA de IKE (IKE SA Lifetime) (min) Introduzca el tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la máxima, de 1440 minutos. El valor predeterminado es 1440 minutos.
      Nota: La regeneración de claves debe iniciarse antes de que caduque el 75-80 % de la duración.
      Tiempo de espera de DPD (s) (DPD Timeout[sec]) Introduzca el valor de tiempo de espera de DPD. El valor de tiempo de espera de DPD se agregará al temporizador de DPD interno, como se describe a continuación. Espere una respuesta del mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo (Dead Peer Detection).
      Antes de la versión 5.1.0, el valor predeterminado era de 20 segundos. Para la versión 5.1.0 y versiones posteriores, consulte la siguiente lista para ver el valor predeterminado.
      • Nombre de biblioteca: Quicksec
      • Intervalo de sondeo: exponencial (0,5 segundos, 1 segundo, 2 segundos, 4 segundos, 8 segundos, 16 segundos)
      • Intervalo de DPD mínimo predeterminado: 47,5 segundos (Quicksec espera 16 segundos después del último reintento. Por lo tanto, 0,5 + 1 + 2 + 4 + 8 + 16 + 16 = 47,5).
      • Intervalo de DPD mínimo predeterminado + Tiempo de espera de DPD (segundos): 67,5 segundos
      Nota: Para la versión 5.1.0 y versiones posteriores, no se puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. El valor de tiempo de espera de DPD en segundos se agrega al valor mínimo predeterminado de 47,5 segundos.
      Ver la configuración avanzada de la propuesta de IPsec (View advanced settings for IPsec Proposal): expanda esta opción para ver los siguientes campos.
      Cifrado (Encryption) Seleccione el tamaño de la clave del algoritmo AES en la lista desplegable para cifrar los datos. Las opciones disponibles son Ninguno (None), AES 128 y AES 256. El valor predeterminado es AES 128.
      PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15, 16, 19, 20 y 21. El valor predeterminado es 14.
      Hash Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista desplegable:
      • SHA 1
      • SHA 256
      • SHA 384
        Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
      • SHA 512
        Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).

      El valor predeterminado es SHA 256.

      Duración de SA de IPsec (IPsec SA Lifetime) (min) Introduzca el tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPsec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y máxima, de 480 minutos. El valor predeterminado es 480 minutos.
      Nota: La regeneración de claves debe iniciarse antes de que caduque el 75-80 % de la duración.
      Puerta de enlace VPN secundaria (Secondary VPN Gateway)
      Agregar (Add): haga clic en esta opción para agregar una puerta de enlace de VPN secundaria. Se muestran los siguientes campos.
      IP pública (Public IP) Introduzca una dirección IPv4 o IPv6 válida.
      Eliminar Elimina la puerta de enlace de VPN secundaria.
      La configuración de túnel es igual que la puerta de enlace de VPN principal Seleccione esta casilla de verificación si desea utilizar la misma configuración para las puertas de enlace principal y secundaria. Puede optar por introducir manualmente la configuración de la puerta de enlace de VPN secundaria.
      Subredes de sitio (Site Subnets)
      Agregar Haga clic en esta opción para agregar una subred y una descripción para el Destino que no es de SD-WAN.
      Eliminar Haga clic en esta opción para eliminar la subred seleccionada.
    3. Haga clic en Guardar (Save).
  2. En el área Servicios de seguridad de nube (Cloud Security Services), haga clic en Nuevo (New).
  3. En la ventana Nuevo servicio de seguridad de nube (New Cloud Security Service), seleccione un tipo de servicio en el menú desplegable. VMware SD-WAN admite los siguientes tipos de CSS:
    • Servicio de seguridad de nube genérico
    • Servicio de Seguridad de Nube de Symantec/Palo Alto
    • Servicio de seguridad de nube Zscaler
    1. Si seleccionó el Servicio de seguridad de nube "Genérico" (Generic) o "Symantec/Palo Alto" como Tipo de servicio (Service Type), configure los siguientes campos y haga clic en Guardar cambios (Save Changes).
      Opción Descripción
      Nombre del servicio (Service Name) Introduzca un nombre descriptivo para el servicio de seguridad de nube.
      Servidor/punto de presencia principal (Primary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor principal.
      Servidor/punto de presencia secundario (Secondary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor secundario. Este campo es opcional.
    2. Si seleccionó el Servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como Tipo de servicio (Service Type), configure los siguientes campos y haga clic en Guardar cambios (Save Changes).
      Opción Descripción
      Nombre del servicio (Service Name) Introduzca un nombre descriptivo para el servicio de seguridad de nube.
      Automatizar la implementación de Cloud Service Seleccione la casilla de verificación para elegir la implementación de automatización.
      URL para iniciar sesión en Zscaler Puede utilizar la URL de Zscaler existente en la lista desplegable o introducir una nueva URL.
      Servidor principal Introduzca la dirección IP o el nombre de host del servidor principal.
      Servidor secundario Introduzca la dirección IP o el nombre de host del servidor secundario. Este campo es opcional.
      Comprobación de estado de capa 7 (L7 Health Check) Seleccione la casilla de verificación para supervisar el estado del servidor de Zscaler.
      Nota: Para una instancia de Edge o un perfil determinados, un usuario no puede anular los parámetros de comprobación de estado de capa 7 configurados en el servicio de red.
      Intervalo de sondeo de HTTP (HTTP Probe Interval) Muestra la duración del intervalo entre sondeos HTTP individuales. El intervalo de sondeo predeterminado es de 5 segundos.
      Número de reintentos (Number of Retries) Seleccione el número de reintentos permitidos antes de marcar el servicio en la nube como INACTIVO (DOWN). El valor predeterminado es 3.
      Umbral de RTT (RTT Threshold) El umbral de Tiempo de ida y vuelta (Round Trip Time, RTT), expresado en milisegundos, utilizado para calcular el estado del servicio de nube. El servicio de nube se marca como FUERA DE SERVICIO (DOWN) si el RTT medido se encuentra por encima del umbral configurado. El valor predeterminado es 3000 milisegundos.
      URL de inicio de sesión de Zscaler (Zscaler Login URL) Introduzca la URL de inicio de sesión y haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
      Nota: El vínculo Iniciar sesión en Zscaler (Login to Zscaler) solo se activa si introduce la URL de inicio de sesión de Zscaler.
      Nota: Para obtener más información, consulte Servicios de seguridad de nube.
  4. A continuación se muestran otras opciones disponibles en la sección Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge):
    Opción Descripción
    Eliminar Seleccione un elemento y haga clic en esta opción para eliminarlo.
    Columnas Haga clic y seleccione las columnas que se mostrarán o se ocultarán en la página.
    Nota: Haga clic en el icono de información en la parte superior de la tabla para ver el diagrama conceptual y pase el cursor por el diagrama para obtener más detalles.

Qué hacer a continuación