VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de Destination non-SD-WAN afin d'établir des tunnels v4 et v6 IPsec sécurisés directement depuis un dispositif SD-WAN Edge vers une instance de Destination non-SD-WAN. Cette section permet également de configurer les services de sécurité cloud.
Procédure
- Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Services réseau (Network Services), puis, dans Destinations non-SD-WAN (Non SD-WAN Destinations), développez Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge).
- Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), cliquez sur l'option Nouveau (New) ou sur Nouvelle NSD via le dispositif Edge (New NSD via Edge) pour créer une destination non-SD-WAN.
Note : L'option Nouvelle NSD via le dispositif Edge (New NSD via Edge) s'affiche uniquement lorsque le tableau ne contient aucun élément.
- Les options de configuration suivantes sont disponibles :
Note : Pour prendre en charge le type de centre de données de Destination non-SD-WAN, outre les paramètres IKE/IPsec, vous devez configurer des sous-réseaux locaux Destination non-SD-WAN dans le système VMware.
Option Description Général (General) Nom du service (Service Name) Entrez un nom pour Destination non-SD-WAN. Ce champ est obligatoire. Type de service (Service Type) Sélectionnez le type de service dans le menu déroulant. Les options disponibles sont Routeur IKEv1 générique (VPN basé sur une route) (Generic IKEv1 Router [Route Based VPN]), Routeur IKEv2 générique (VPN basé sur une route) (Generic IKEv2 Router [Route Based VPN]) et WAN virtuel Microsoft Azure (Microsoft Azure Virtual Wan). Ce champ est obligatoire. Mode tunnel (Tunnel mode) Sélectionnez un mode tunnel dans le menu déroulant. Les options disponibles sont Actif/Actif (Active/Active), Actif/Passif à chaud (Active/Hot-Standby) et Actif/Passif (Active/Standby). Paramètres IKE/IPsec (IKE/IPsec Settings) Version de l'adresse IP (IP Version) Sélectionnez une version de l'adresse IP (IPv4 ou IPv6) de l'instance actuelle de Destination non-SD-WAN dans le menu déroulant. Passerelle VPN principale (Primary VPN Gateway) Adresse IP publique (Public IP) Entrez une adresse IPv4 ou IPv6 valide. Ce champ est obligatoire. Affichez les paramètres avancés de la proposition IKE : développez cette option pour afficher les champs suivants. Chiffrement (Encryption) Sélectionnez la taille de clé d'algorithme AES dans la liste déroulante pour chiffrer les données. Les options disponibles sont AES 128, AES 256, AES 128 GCM, AES 256 GCM et Auto. La valeur par défaut est AES 128. Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) dans la liste déroulante. Il est utilisé pour générer du matériel de génération de clés. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. La valeur par défaut est de 14. Hachage (Hash) Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste déroulante : - SHA 1
- SHA 256
- SHA 384
Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
- SHA 512
Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
- Auto
La valeur par défaut est SHA 256.
Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Entrez le moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et la valeur maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes. Note : Le renouvellement de clés doit être initié avant l'expiration de 75 à 80 % de la durée de vie.Délai d'expiration de DPD (s) [DPD Timeout (sec)] Entrez la valeur DPD Timeout. La valeur DPD Timeout sera ajoutée au DPD Timer interne, comme décrit ci-dessous. Attendez une réponse du message DPD avant de considérer le peer comme inactif (Détection des peers inactifs). Avant la version 5.1.0, la valeur par défaut était de 20 secondes. Pour la version 5.1.0 et les versions ultérieures, reportez-vous à la liste ci-dessous pour connaître la valeur par défaut.- Nom de la bibliothèque : Quicksec
- Intervalle d'analyse : exponentiel (0,5 s, 1 s, 2 s, 4 s, 8 s et 16 s)
- Intervalle DPD minimal par défaut : 47,5 s (Quicksec attend 16 secondes après la dernière nouvelle tentative. Par conséquent, 0,5+1+2+4+8+16+16 = 47,5).
- Intervalle DPD minimal par défaut + DPD Timeout (s) : 67,5 s
Note : Pour la version 5.1.0 et les versions ultérieures, vous ne pouvez pas désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. La valeur DPD Timeout en secondes est ajoutée à la valeur minimale par défaut de 47,5 secondes.Affichez les paramètres avancés de la proposition IPsec : développez cette option pour afficher les champs suivants. Chiffrement (Encryption) Sélectionnez la taille de clé d'algorithme AES dans la liste déroulante pour chiffrer les données. Les options disponibles sont Aucun, AES 128 et AES 256. La valeur par défaut est AES 128. PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux PFS pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. La valeur par défaut est de 14. Hachage (Hash) Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste déroulante : - SHA 1
- SHA 256
- SHA 384
Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
- SHA 512
Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
La valeur par défaut est SHA 256.
Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Entrez le moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la valeur maximale est de 480 minutes. La valeur par défaut est de 480 minutes. Note : Le renouvellement de clés doit être initié avant l'expiration de 75 à 80 % de la durée de vie.Passerelle VPN secondaire (Secondary VPN Gateway) Ajouter (Add) : cliquez sur cette option pour ajouter une passerelle VPN secondaire. Les champs suivants s'affichent. Adresse IP publique (Public IP) Entrez une adresse IPv4 ou IPv6 valide. Supprimer (Remove) Supprime la passerelle VPN secondaire. Les paramètres du tunnel sont identiques à la passerelle VPN principale Cochez cette case si vous souhaitez utiliser les mêmes paramètres pour les passerelles principale et secondaire. Vous pouvez choisir d'entrer manuellement les paramètres de la passerelle VPN secondaire. Sous-réseaux de site (Site Subnets) Ajouter (Add) Cliquez sur cette option pour ajouter un sous-réseau et une description pour la Destination non-SD-WAN. Supprimer (Delete) Cliquez sur cette option pour supprimer le sous-réseau sélectionné. - Cliquez sur Enregistrer (Save).
- Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), cliquez sur l'option Nouveau (New) ou sur Nouvelle NSD via le dispositif Edge (New NSD via Edge) pour créer une destination non-SD-WAN.
- Dans la section Services de sécurité cloud (Cloud Security Services), cliquez sur Nouveau (New).
- Dans la fenêtre Nouveau service de sécurité cloud (New Cloud Security Service), sélectionnez un type de service dans le menu déroulant. VMware SD-WAN prend en charge les types de CSS suivants :
- Service de sécurité cloud générique (Generic Cloud Security Service)
- Service de sécurité cloud Symantec/Palo Alto (Symantec / Palo Alto Cloud Security Service)
- Service de sécurité cloud Zscaler
- Si vous avez sélectionné le service de sécurité cloud « Générique » (Generic) ou « Symantec/Palo Alto » comme Type de service (Service Type), configurez les champs requis suivants, puis cliquez sur Save Changes (Enregistrer les modifications).
Option Description Nom du service (Service Name) Entrez un nom descriptif pour le service de sécurité cloud. Point de présence/serveur principal (Primary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur principal. Point de présence/serveur secondaire (Secondary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur secondaire. Ce champ est facultatif. - Si vous avez sélectionné Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme Type de service (Service Type), configurez les champs suivants, puis cliquez sur Enregistrer les modifications (Save Changes).
Option Description Nom du service (Service Name) Entrez un nom descriptif pour le service de sécurité cloud. Automatiser le déploiement du service cloud (Automate Cloud Service Deployment) Cochez la case pour choisir le déploiement de l'automatisation. URL de connexion à Zscaler Vous pouvez choisir d'utiliser l'URL Zscaler existante dans la liste déroulante ou d'entrer une nouvelle URL. Serveur principal (Primary Server) Entrez l'adresse IP ou le nom d'hôte du serveur principal. Serveur secondaire (Secondary Server) Entrez l'adresse IP ou le nom d'hôte du serveur secondaire. Ce champ est facultatif. Contrôle de santé L7 (L7 Health Check) Cochez la case pour surveiller la santé du serveur Zscaler. Note : Pour un dispositif Edge/profil donné, un utilisateur ne peut pas remplacer les paramètres du contrôle de santé L7 configurés dans les services réseau.Intervalle de sonde HTTP (HTTP Probe Interval) Affiche la durée de l'intervalle entre les sondes HTTP individuelles. L'intervalle de sonde par défaut est de 5 secondes. Nombre de nouvelles tentatives (Number of Retries) Sélectionnez le nombre de nouvelles tentatives autorisées avant de marquer le service cloud comme inactif (DOWN). La valeur par défaut est de 3. Seuil RTT (RTT Threshold) Le seuil de temps aller-retour (RTT), exprimé en millisecondes, est utilisé pour calculer l'état du service cloud. Le service cloud est marqué comme INACTIF (DOWN) si le RTT mesuré dépasse le seuil configuré. La valeur par défaut est de 3 000 millisecondes. URL de connexion Zscaler (Zscaler Login URL) Entrez l'URL de connexion, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné. Note : Le lien Connexion à Zscaler (Login to Zscaler) n'est activé que si vous entrez l'URL de connexion Zscaler.Note : Pour plus d'informations, reportez-vous à la section Service de sécurité cloud.
- Les autres options suivantes sont disponibles dans la section Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge) :
Option Description Supprimer (Delete) Sélectionnez un élément et cliquez sur cette option pour le supprimer. Colonnes (Columns) Cliquez sur cette option et sélectionnez les colonnes à afficher ou à masquer sur la page. Note : Cliquez sur l'icône d'informations en haut du tableau pour afficher le diagramme conceptuel, puis passez le curseur sur le diagramme pour obtenir plus d'informations.
Que faire ensuite
- Configurez les paramètres de tunnel pour votre Destination non-SD-WAN. Pour plus d'informations, reportez-vous à la section :
- Associez votre Destination non-SD-WAN à un profil ou à un dispositif Edge. Pour plus d'informations, reportez-vous à la section Configurer le tunnel entre le site distant et les destinations non-SD-WAN via un dispositif Edge.
- Configurez les paramètres de tunnel (sélection d'une liaison WAN et informations d'identification par tunnel) au niveau du dispositif Edge. Pour plus d'informations, reportez-vous à la section Configurer les paramètres du VPN cloud et du tunnel pour les dispositifs Edge.
- Configurez la Business Policy. La configuration de la business policy est une procédure facultative pour les destinations non-SD-WAN via un dispositif Edge. Si aucune instance de Destinations non-SD-WAN n'est configurée, vous pouvez rediriger le trafic Internet via la business policy. Pour plus d'informations, reportez-vous à la section Créer une règle de business policy.