Décrit comment configurer une instance de Non-VMware SD-WAN Site de type passerelle VPN d'AWS.

À propos de cette tâche

Vous ne pouvez configurer les destinations non-SD-WAN via la passerelle qu'au niveau du profil et ne pouvez pas les remplacer au niveau du dispositif SD-WAN Edge.

Procédure

  1. Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) > Services réseau (Network Services).

    L'écran Services s'affiche.

  2. Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur le bouton Nouveau (New).

    La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non SD-WAN Destinations via Gateway) s'affiche.

  3. Dans la zone de texte Nom (Name), entrez le nom du Destination non-SD-WAN.
  4. Dans le menu déroulant Type, sélectionnez Passerelle VPN d'AWS (AWS VPN Gateway).

  5. Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).

    Une instance de Destination non-SD-WAN de type passerelle VPN d'AWS est créée et une boîte de dialogue pour votre Destination non-SD-WAN s'affiche.

  6. Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Destination non-SD-WAN, cliquez sur le bouton Avancé (Advanced).

  7. Dans la zone Passerelle VPN (VPN Gateway), vous pouvez configurer les paramètres de tunnel suivants :
    Champ Description
    Mode tunnel (Tunnel Mode) La fonction Actif-passif à chaud est prise en charge sur l'instance de SD-WAN Gateway. Actif/passif à chaud s'affiche automatiquement pour indiquer que si le tunnel actif tombe en panne, le tunnel passif (passif à chaud) prend le relais et devient le tunnel actif.
    PSK Clé prépartagée (PSK), qui est la clé de sécurité pour l'authentification sur le tunnel. Par défaut, SD-WAN Orchestrator génère un PSK. Si vous souhaitez utiliser votre propre PSK ou mot de passe, entrez-le dans la zone de texte.
    Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithmes AES pour le chiffrement des données. La valeur par défaut est AES 128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5 et 14. Il est recommandé d'utiliser le groupe DH 14.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2 et 5. La valeur par défaut est Désactivé (Deactivated).
    Algorithme d'authentification (Authentication Algorithm) Algorithme d'authentification de l'en-tête VPN. Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans le menu déroulant :
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    La valeur par défaut est SHA 1.

    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs SD-WAN Edge. La durée de vie IKE minimale est de 10 minutes et la valeur maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la valeur maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
    Type de DPD (DPD Type) La méthode DPD (Dead Peer Detection) est utilisée pour détecter si le peer IKE (Internet Key Exchange) est actif ou inactif. Si le peer est détecté comme étant inactif, le périphérique supprime l'association de sécurité IPsec et IKE. Sélectionnez Périodique (Periodic) ou À la demande (On demand) dans la liste. La valeur par défaut est à la demande.
    Délai d'expiration de DPD (s) [DPD Timeout (sec)] Entrez la valeur DPD Timeout. La valeur DPD Timeout sera ajoutée au DPD Timer interne, comme décrit ci-dessous. Attendez une réponse du message DPD avant de considérer le peer comme inactif (Détection des peers inactifs).
    Avant la version 5.1.0, la valeur par défaut était de 20 secondes. Pour la version 5.1.0 et les versions ultérieures, reportez-vous à la liste ci-dessous pour connaître la valeur par défaut.
    • Nom de la bibliothèque : Quicksec
    • Intervalle d'analyse : exponentiel (0,5 s, 1 s, 2 s, 4 s, 8 s et 16 s)
    • Intervalle DPD minimal par défaut : 47,5 s (Quicksec attend 16 secondes après la dernière nouvelle tentative. Par conséquent, 0,5+1+2+4+8+16+16 = 47,5).
    • Intervalle DPD minimal par défaut + DPD Timeout (s) : 67,5 s
    Note : Avant la version 5.1.0, vous pouviez désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. Cependant, pour la version 5.1.0 et les versions ultérieures, vous ne pouvez pas désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. La valeur DPD Timeout en secondes est ajoutée à la valeur minimale par défaut de 47,5 secondes.
  8. Pour créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway). Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur Enregistrer les modifications (Save Changes).

    La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN VMware vers cette passerelle.

  9. Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour ajouter des tunnels redondants à chaque passerelle VPN. Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
  10. Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les modifications, puis cliquez sur Afficher le modèle IKE/IPsec (View IKE/IPsec Template) pour afficher la configuration de tunnel mise à jour.

  11. Cliquez sur le lien Mettre à jour l'emplacement (Update Location) situé dans le coin supérieur droit de la boîte de dialogue Destination non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) pour définir l'emplacement de l'instance de Non-VMware SD-WAN Site configurée. Les détails de la latitude et de la longitude permettent de déterminer le meilleur dispositif SD-WAN Edge ou SD-WAN Gateway à connecter au réseau.
  12. Sous la zone Sous-réseaux de site (Site Subnets), vous pouvez ajouter des sous-réseaux pour l'instance de Non-VMware SD-WAN Site en cliquant sur le bouton +. Utilisez l'option Sous-réseaux source personnalisés (Custom Source Subnets) pour remplacer les sous-réseaux sources routés vers ce périphérique VPN. Normalement, les sous-réseaux sources sont dérivés des sous-réseaux LAN d'un dispositif SD-WAN Edge routés vers ce périphérique.
    Note : Les sous-réseaux de site doivent être désactivés pour activer un tunnel si aucun sous-réseau de site n'est configuré.
  13. Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN d'AWS.
  14. Cliquez sur Enregistrer les modifications (Save Changes).
  15. Attribuez le service réseau de site non-SD-WAN récemment créé à un profil en accédant à Configurer (Configure ) > Profils (Profiles) dans le dispositif SD-WAN Orchestrator. Reportez-vous à la section Configurer un tunnel entre un site distant et des destinations non-SD-WAN via une passerelle.
  16. Revenez dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) dans SD-WAN Orchestrator en accédant à Configurer (Configure) > Services réseau (Network Services).
  17. Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), faites défiler l'écran vers le bas jusqu'au nom de votre instance de Non-SD-WAN Site, puis cliquez sur le lien Modifier (Edit) dans la colonne BGP.
  18. Configurez BGP en fonction des valeurs AWS pour les champs obligatoires suivants : ASN local (Local ASN), Type de tunnel (Tunnel Type), Adresse IP du neighbor (Neighbor IP) et Adresse IP locale (Local IP) [dans la section Options avancées (Advanced Options)]. REMARQUE : le type de tunnel est mis à jour par défaut. Si nécessaire, reportez-vous à la documentation d'AWS. Pour plus d'informations, reportez-vous à la section Configurer BGP sur IPsec à partir des passerelles.
  19. Cliquez sur OK pour enregistrer vos modifications.
  20. Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur le lien Modifier (Edit) dans la colonne BFD d'une Destination non-SD-WAN, pour configurer les paramètres BFD. Pour plus d'informations, reportez-vous à la section Configurer BFD pour les passerelles.

Étape suivante

Vous pouvez vérifier l'état global des sites non-SD-WAN dans l'onglet Surveillance (Monitoring). Voir :