En este tema se describe la forma de configurar una instancia de Destino que no es de SD-WAN de tipo Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]) a través de SD-WAN Edge en SASE Orchestrator.
Procedimiento
- En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Servicios de red (Network Services).
- En el área Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge), haga clic en el botón Nuevo (New).
Aparece el cuadro de diálogo Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge).
- En el cuadro de texto Nombre de servicio (Service Name), introduzca un nombre para Destino que no es de SD-WAN.
- En el menú desplegable Tipo de servicio (Service Type), seleccione Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]) como el tipo de túnel de IPsec.
- Haga clic en la pestaña Configuración de IKE/IPSec (IKE/IPSec Settings) y defina los siguientes parámetros:
Opción Descripción Versión de IP En el menú desplegable, seleccione una versión de IP (IPv4 o IPv6) de la instancia actual de Destino que no es de SD-WAN. Puerta de enlace VPN principal (Primary VPN Gateway) IP pública (Public IP) Introduzca una dirección IPv4 o IPv6 válida. Este campo es obligatorio. Ver la configuración avanzada de la propuesta de IKE (View advanced settings for IKE Proposal): expanda esta opción para ver los siguientes campos. Cifrado (Encryption) Seleccione el tamaño de la clave del algoritmo AES en la lista desplegable para cifrar los datos. Las opciones disponibles son AES 128, AES 256, AES 128 GCM, AES 256 GCM y Automático (Auto). El valor predeterminado es AES 128. Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) en la lista desplegable. Se utiliza para generar material de claves. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15, 16, 19, 20 y 21. El valor predeterminado es 14. Hash Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista desplegable: - SHA 1
- SHA 256
- SHA 384
Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
- Automático
El valor predeterminado es SHA 256.
Duración de SA de IKE (IKE SA Lifetime) (min) Introduzca el tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la máxima, de 1440 minutos. El valor predeterminado es 1440 minutos. Nota: La regeneración de claves debe iniciarse antes de que caduque el 75-80 % de la duración.Tiempo de espera de DPD (s) (DPD Timeout[sec]) Introduzca el valor de tiempo de espera de DPD. El valor de tiempo de espera de DPD se agregará al temporizador de DPD interno, como se describe a continuación. Espere una respuesta del mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo (Dead Peer Detection). Antes de la versión 5.1.0, el valor predeterminado era de 20 segundos. Para la versión 5.1.0 y versiones posteriores, consulte la siguiente lista para ver el valor predeterminado.- Nombre de biblioteca: Quicksec
- Intervalo de sondeo: exponencial (0,5 segundos, 1 segundo, 2 segundos, 4 segundos, 8 segundos, 16 segundos)
- Intervalo de DPD mínimo predeterminado: 47,5 segundos (Quicksec espera 16 segundos después del último reintento. Por lo tanto, 0,5 + 1 + 2 + 4 + 8 + 16 + 16 = 47,5).
- Intervalo de DPD mínimo predeterminado + Tiempo de espera de DPD (segundos): 67,5 segundos
Nota: Para la versión 5.1.0 y versiones posteriores, no se puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. El valor de tiempo de espera de DPD en segundos se agrega al valor mínimo predeterminado de 47,5 segundos.Ver la configuración avanzada de la propuesta de IPsec (View advanced settings for IPsec Proposal): expanda esta opción para ver los siguientes campos. Cifrado (Encryption) Seleccione el tamaño de la clave del algoritmo AES en la lista desplegable para cifrar los datos. Las opciones disponibles son Ninguno (None), AES 128 y AES 256. El valor predeterminado es AES 128. PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15, 16, 19, 20 y 21. El valor predeterminado es 14. Hash Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista desplegable: - SHA 1
- SHA 256
- SHA 384
Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Nota: Este valor no está disponible para el tipo de servicio WAN virtual de Microsoft Azure (Microsoft Azure Virtual Wan).
El valor predeterminado es SHA 256.
Duración de SA de IPsec (IPsec SA Lifetime) (min) Introduzca el tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPsec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y máxima, de 480 minutos. El valor predeterminado es 480 minutos. Nota: La regeneración de claves debe iniciarse antes de que caduque el 75-80 % de la duración.Puerta de enlace VPN secundaria (Secondary VPN Gateway) Agregar (Add): haga clic en esta opción para agregar una puerta de enlace de VPN secundaria. Se muestran los siguientes campos. IP pública (Public IP) Introduzca una dirección IPv4 o IPv6 válida. Eliminar Elimina la puerta de enlace de VPN secundaria. Mantener túnel activo Seleccione esta casilla de verificación para mantener el túnel VPN secundario activo para este sitio. La configuración de túnel es igual que la puerta de enlace de VPN principal Seleccione esta casilla de verificación si desea aplicar la misma configuración avanzada para las puertas de enlace principal y secundaria. Puede optar por introducir manualmente la configuración de la puerta de enlace de VPN secundaria. Nota: Cuando AWS inicia el túnel de regeneración de claves con una VMware SD-WAN Gateway (en destinos que no son de SD-WAN), se puede producir un error y no se establecerá un túnel, lo que puede causar la interrupción del tráfico. Considere lo siguiente:- Las configuraciones del temporizador de duración de SA de IPsec (min) para la SD-WAN Gateway deben ser inferiores a 60 minutos (se recomiendan 50 minutos) para que coincida con la configuración de IPsec predeterminada de AWS.
- Los grupos DH y PFS DH deben coincidir.
- La puerta de enlace de VPN secundaria se crea inmediatamente para este sitio y aprovisiona un túnel VPN de VMware a esta puerta de enlace.
- Haga clic en la pestaña Subredes de sitio (Site Subnets) y configure lo siguiente:
Opción Descripción Agregar Haga clic en esta opción para agregar una subred y una descripción para el Destino que no es de SD-WAN. Eliminar Haga clic en esta opción para eliminar la subred seleccionada. Nota: Para admitir el tipo de centro de datos de Destino que no es de SD-WAN, además de la conexión de IPSec, debe configurar subredes locales de Destino que no es de SD-WAN en el sistema VMware. - Haga clic en Guardar (Save) .