Realice los siguientes pasos para configurar una instancia de Destino que no es de SD-WAN de tipo Palo Alto en SASE Orchestrator.
Procedimiento
- Una vez que se haya creado una configuración de Destino que no es de SD-WAN de tipo Palo Alto, se le redirigirá a una página de opciones de configuración adicional:
- Puede configurar los siguientes ajustes de túnel:
Opción Descripción General Nombre (Name) Puede editar el nombre introducido anteriormente para Destino que no es de SD-WAN. Tipo (Type) Muestra el tipo como Palo Alto. No puede editar esta opción. Habilitar túneles (Enable Tunnel(s)) Haga clic en el botón de alternancia para iniciar el túnel o túneles desde SD-WAN Gateway a la puerta de enlace de VPN de Palo Alto. Modo de túnel (Tunnel Mode) El modo Activo/En espera en caliente (Active/Hot-Standby) permite configurar un máximo de 2 endpoints de túnel o puertas de enlace. El modo Activo/Activo (Active/Active) permite configurar un máximo de 4 endpoints de túnel o puertas de enlace. Todos los túneles activos pueden enviar y recibir tráfico a través de ECMP. Método de uso compartido de carga de ECMP Basado en carga de flujo (Flow Load Based) (predeterminado) El algoritmo basado en la carga de flujo asigna el nuevo flujo a la ruta de acceso con el menor número de flujos asignados entre las rutas de acceso disponibles que llevan al destino. El algoritmo Basado en carga de hash (Hash Load Based) toma los parámetros de entrada de 5 tuplas (SrcIP, DestIP, SrcPort, DestPort, Protocol). Estas entradas pueden ser cualquiera, todas o cualquier subconjunto de esta tupla en función de la configuración del usuario. El flujo se asigna a la ruta de acceso en función del valor hash con las entradas seleccionadas. Puerta de enlace de VPN 1 Introduzca una dirección IP válida. Puerta de enlace de VPN 2 Introduzca una dirección IP válida. Este campo es opcional. Puerta de enlace de VPN 3 Introduzca una dirección IP válida. Este campo es opcional. Puerta de enlace de VPN 4 Introduzca una dirección IP válida. Este campo es opcional. Puerta de enlace VPN principal (Primary VPN Gateway) IP pública (Public IP) Muestra la dirección IP de la puerta de enlace de VPN principal. PSK La clave compartida previamente (Pre-Shared Key, PSK), que es la clave de seguridad para la autenticación en el túnel. SASE Orchestrator genera una PSK de forma predeterminada. Si desea usar su propia PSK o contraseña, puede introducirla en el cuadro de texto. Cifrado (Encryption) Seleccione AES -128 o AES -256 como el tamaño de la clave de algoritmos para cifrar los datos. El valor predeterminado es AES -128. Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) en el menú desplegable. Se utiliza para generar material de claves. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5 y 14. El valor predeterminado es 2. Se recomienda utilizar el grupo de DH 14. PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son desactivado (deactivated), 2 y 5. El valor predeterminado es 5. VPN de nube de VMware redundante Seleccione la casilla de verificación para agregar túneles redundantes para cada puerta de enlace de VPN. Los cambios que se realicen en Cifrado (Encryption), Grupo DH (DH Group) o PFS de la puerta de enlace de VPN principal también se aplican a los túneles VPN redundantes, si están configurados. Puerta de enlace VPN secundaria (Secondary VPN Gateway) Haga clic en el botón Agregar (Add) e introduzca la dirección IP de la puerta de enlace de VPN secundaria. Haga clic en Guardar cambios (Save Changes). La puerta de enlace de VPN secundaria se crea inmediatamente para este sitio y aprovisiona un túnel VPN de VMware a esta puerta de enlace.
IKE/IPsec de muestra (Sample IKE / IPsec) Haga clic para ver la información necesaria para configurar la puerta de enlace de Destino que no es de SD-WAN. El administrador de puerta de enlace debe utilizar esta información para configurar los túneles de VPN de puerta de enlace. Ubicación (Location) Haga clic en Editar (Edit) para establecer la ubicación del Destino que no es de SD-WAN configurado. Se utilizan los detalles de latitud y longitud para determinar la mejor instancia de Edge o puerta de enlace a la que conectarse en la red. Subredes de sitio (Site Subnets) Utilice el botón de alternancia para activar o desactivar las Subredes de sitio (Site Subnets). Haga clic en Agregar (Add) para agregar subredes para Destino que no es de SD-WAN. Si no necesita subredes para el sitio, seleccione la subred y haga clic en Eliminar (Delete). Nota:- Para admitir el tipo de centro de datos de Destino que no es de SD-WAN, además de la conexión de IPsec, debe configurar subredes locales de Destino que no es de SD-WAN en el sistema VMware.
- Si no hay subredes de sitio configuradas, desactive Subredes de sitio (Site Subnets) para activar el túnel.
Nota:Para la instancia de Destino que no es de SD-WAN de Palo Alto, el valor de identificador de autenticación local predeterminado utilizado es la dirección IP pública de interfaz de SD-WAN Gateway.
- Haga clic en Guardar cambios (Save Changes).