Suivez les étapes ci-dessous pour configurer une instance de Destination non-SD-WAN de type Palo Alto dans SASE Orchestrator.

Procédure

  1. Une fois que vous avez créé une configuration Destination non-SD-WAN de type Palo Alto, vous êtes redirigé vers une page d'options de configuration supplémentaires :
  2. Vous pouvez configurer les paramètres de tunnel suivants :
    Option Description
    Général (General)
    Nom (Name) Vous pouvez modifier le nom entré précédemment pour Destination non-SD-WAN.
    Type Affiche le type Palo Alto. Vous ne pouvez pas modifier cette option.
    Activer le ou les tunnels (Enable Tunnel[s]) Cliquez sur le bouton bascule pour initier le ou les tunnels depuis SD-WAN Gateway vers la passerelle VPN de Palo Alto.
    Mode tunnel (Tunnel Mode) Le mode Actif/Veille à chaud (Active/Hot-Standby) prend en charge la configuration de 2 points de terminaison de tunnel ou passerelles au maximum.
    Le mode Actif/Actif (Active/Active) prend en charge la configuration de 4 points de terminaison de tunnel ou passerelles au maximum. Tous les tunnels actifs peuvent envoyer et recevoir du trafic via ECMP.
    Méthode de partage de charge ECMP L'algorithme par défaut Basé sur la charge de flux (Flow Load Based) mappe le nouveau flux au chemin avec le moins de flux mappés parmi les chemins disponibles vers la destination.
    L'algorithme Basé sur la charge de hachage (Hash Load Based) prend les paramètres d'entrée d'un tuple comprenant 5 éléments (SrcIP, DestIP, SrcPort, DestPort, Protocol). Ces entrées peuvent correspondre à n'importe quelle valeur, à la totalité des valeurs ou à n'importe quel sous-ensemble de ce tuple selon la configuration de l'utilisateur. Le flux est mappé au chemin en fonction de la valeur de hachage avec les entrées sélectionnées.
    Passerelle VPN 1 Entrez une adresse IP valide.
    Passerelle VPN 2 Entrez une adresse IP valide. Ce champ est facultatif.
    Passerelle VPN 3 Entrez une adresse IP valide. Ce champ est facultatif.
    Passerelle VPN 4 Entrez une adresse IP valide. Ce champ est facultatif.
    Passerelle VPN principale (Primary VPN Gateway)
    Adresse IP publique (Public IP) Affiche l'adresse IP de la passerelle VPN principale.
    PSK La clé prépartagée (PSK) est la clé de sécurité pour l'authentification sur le tunnel. Par défaut, SASE Orchestrator génère une clé prépartagée (PSK). Si vous souhaitez utiliser votre propre PSK ou mot de passe, entrez-le dans la zone de texte.
    Chiffrement (Encryption) Sélectionnez AES-128 ou AES-256 comme taille de clé d'algorithme AES pour le chiffrement des données. La valeur par défaut est AES-128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) dans le menu déroulant. Il est utilisé pour générer du matériel de génération de clés. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5 et 14. La valeur par défaut est de 2. Il est recommandé d'utiliser le groupe DH 14.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont désactivé2 et 5. La valeur par défaut est de 5.
    VPN VMware Cloud redondant (Redundant VMware Cloud VPN) Cochez cette case pour ajouter des tunnels redondants pour chaque passerelle VPN. Les modifications apportées à Chiffrement (Encryption), à Groupe DH (DH Group) ou à PFS de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
    Passerelle VPN secondaire (Secondary VPN Gateway) Cliquez sur le bouton Ajouter (Add), puis entrez l'adresse IP de la passerelle VPN secondaire. Cliquez sur Enregistrer les modifications (Save Changes).

    La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.
    Exemple IKE/IPSec (Sample IKE / IPsec) Cliquez pour afficher les informations nécessaires à la configuration de la passerelle Destination non-SD-WAN. L'administrateur de passerelle doit utiliser ces informations pour configurer le ou les tunnels VPN de passerelle.
    Emplacement (Location) Cliquez sur Modifier (Edit) pour définir l'emplacement de l'instance de Destination non-SD-WAN configurée. Les détails de la latitude et de la longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à connecter au réseau.
    Sous-réseaux de site (Site Subnets) Utilisez le bouton bascule pour activer ou désactiver l'option Sous-réseaux de site (Site Subnets). Cliquez sur Ajouter (Add) pour ajouter des sous-réseaux à la Destination non-SD-WAN. Si les sous-réseaux du site ne sont pas nécessaires pour le site, sélectionnez le sous-réseau et cliquez sur Supprimer (Delete).
    Note :
    • Pour prendre en charge le type de centre de données de Destination non-SD-WAN, outre la connexion IPsec, vous devez configurer des sous-réseaux locaux Destination non-SD-WAN dans le système VMware.
    • Si aucun sous-réseau de site n'a été configuré, désactivez Sous-réseaux de site (Site Subnets) pour activer le tunnel.
    Note :

    Pour l'instance de Destination non-SD-WAN Palo Alto, la valeur de l'ID d'authentification locale par défaut utilisée est Adresse IP publique d'interface (Interface Public IP) de SD-WAN Gateway.

  3. Cliquez sur Enregistrer les modifications (Save Changes).