Décrit comment configurer une instance de Destination non-SD-WAN de type Pare-feu générique (VPN basé sur la stratégie) [Generic Firewall (Policy Based VPN)] dans SD-WAN Orchestrator.
Procédure
- Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) > Services réseau (Network Services).
L'écran Services s'affiche.
- Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur le bouton Nouveau (New).
La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non SD-WAN Destinations via Gateway) s'affiche.
- Dans la zone de texte Nom (Name), entrez le nom du Destination non-SD-WAN.
- Dans le menu déroulant Type, sélectionnez Pare-feu générique (VPN basé sur la stratégie) [Generic Firewall (Policy Based VPN)].
- Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).
Une instance de Destination non-SD-WAN de type Pare-feu générique (VPN basé sur la stratégie) est créée et une boîte de dialogue pour votre Destination non-SD-WAN s'affiche.
- Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Destination non-SD-WAN, cliquez sur le bouton Avancé (Advanced).
- Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les paramètres de tunnel suivants :
Champ Description PSK Clé prépartagée (PSK), qui est la clé de sécurité pour l'authentification sur le tunnel. Par défaut, Orchestrator génère une clé prépartagée (PSK). Si vous souhaitez utiliser votre propre PSK ou mot de passe, vous pouvez l'entrer dans la zone de texte. Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithmes AES pour le chiffrement des données. La valeur par défaut est AES 128. Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5 et 14. Il est recommandé d'utiliser le groupe DH 14. PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2 et 5. La valeur par défaut est Désactivé (Deactivated). Note : La passerelle VPN secondaire n'est pas prise en charge pour le type de service réseau de pare-feu générique (VPN basé sur la stratégie). - Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour ajouter des tunnels redondants à chaque passerelle VPN.
Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés. Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour afficher la configuration de tunnel mise à jour.Note : La version d'IKE actuellement prise en charge est IKEv1.
- Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement de l'instance de Destination non-SD-WAN configurée. Les détails de la latitude et de la longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à connecter au réseau.
- L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants et entrez une valeur que vous déterminez :
- Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par exemple, google.com.
- Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de l'utilisateur sous la forme d'une adresse e-mail. Par exemple, [email protected].
- IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.
Note :Pour le pare-feu générique (VPN basé sur la stratégie), si l'utilisateur ne spécifie aucune valeur, l'option Par défaut (Default) est utilisée comme ID d'authentification locale. La valeur de l'ID d'authentification locale par défaut est l'adresse IP locale de l'interface de SD-WAN Gateway.
- Sous Sous-réseaux de site (Site Subnets), vous pouvez ajouter des sous-réseaux pour l'instance de Destination non-SD-WAN en cliquant sur le bouton +. Si les sous-réseaux du site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux de site (Deactivate Site Subnets).
- Utilisez l'option Sous-réseaux source personnalisés (Custom Source Subnets) pour remplacer les sous-réseaux source routés vers ce périphérique VPN. Normalement, les sous-réseaux source sont dérivés des sous-réseaux LAN d'un dispositif Edge routés vers ce périphérique.
- Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à initier le tunnel de l'instance de SD-WAN Gateway vers les passerelles VPN de pare-feu générique (VPN basé sur la stratégie).
- Cliquez sur Enregistrer les modifications (Save Changes).