Cette rubrique décrit comment configurer une instance de Destination non-SD-WAN de type Routeur IKEv2 générique (VPN basé sur une route) [Generic IKEv2 Router (Route Based VPN)] via SD-WAN Edge dans SASE Orchestrator.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Services réseau (Network Services).
  2. Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), cliquez sur le bouton Nouveau (New).
    La boîte de dialogue Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge) s'affiche.
  3. Dans la zone de texte Nom du service (Service Name), entrez un nom pour l'instance de Destination non-SD-WAN.
  4. Dans le menu déroulant Type de service (Service Type), sélectionnez Routeur IKEv2 générique (VPN basé sur une route) [Generic IKEv2 Router (Route Based VPN)] comme type de tunnel IPSec.
  5. Cliquez sur l'onglet Paramètres IKE/IPsec (IKE/IPSec Settings) et configurez les paramètres suivants :
    Option Description
    Version de l'adresse IP (IP Version) Sélectionnez une version de l'adresse IP (IPv4 ou IPv6) de l'instance actuelle de Destination non-SD-WAN dans le menu déroulant.
    Passerelle VPN principale (Primary VPN Gateway)
    Adresse IP publique (Public IP) Entrez une adresse IPv4 ou IPv6 valide. Ce champ est obligatoire.
    Affichez les paramètres avancés de la proposition IKE : développez cette option pour afficher les champs suivants.
    Chiffrement (Encryption) Sélectionnez la taille de clé d'algorithme AES dans la liste déroulante pour chiffrer les données. Les options disponibles sont AES 128, AES 256, AES 128 GCM, AES 256 GCM et Auto. La valeur par défaut est AES 128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) dans la liste déroulante. Il est utilisé pour générer du matériel de génération de clés. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. La valeur par défaut est de 14.
    Hachage (Hash) Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste déroulante :
    • SHA 1
    • SHA 256
    • SHA 384
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
    • SHA 512
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
    • Auto

    La valeur par défaut est SHA 256.

    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Entrez le moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et la valeur maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Note : Le renouvellement de clés doit être initié avant l'expiration de 75 à 80 % de la durée de vie.
    Délai d'expiration de DPD (s) [DPD Timeout (sec)] Entrez la valeur DPD Timeout. La valeur DPD Timeout sera ajoutée au DPD Timer interne, comme décrit ci-dessous. Attendez une réponse du message DPD avant de considérer le peer comme inactif (Détection des peers inactifs).
    Avant la version 5.1.0, la valeur par défaut était de 20 secondes. Pour la version 5.1.0 et les versions ultérieures, reportez-vous à la liste ci-dessous pour connaître la valeur par défaut.
    • Nom de la bibliothèque : Quicksec
    • Intervalle d'analyse : exponentiel (0,5 s, 1 s, 2 s, 4 s, 8 s et 16 s)
    • Intervalle DPD minimal par défaut : 47,5 s (Quicksec attend 16 secondes après la dernière nouvelle tentative. Par conséquent, 0,5+1+2+4+8+16+16 = 47,5).
    • Intervalle DPD minimal par défaut + DPD Timeout (s) : 67,5 s
    Note : Pour la version 5.1.0 et les versions ultérieures, vous ne pouvez pas désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. La valeur DPD Timeout en secondes est ajoutée à la valeur minimale par défaut de 47,5 secondes.
    Affichez les paramètres avancés de la proposition IPsec : développez cette option pour afficher les champs suivants.
    Chiffrement (Encryption) Sélectionnez la taille de clé d'algorithme AES dans la liste déroulante pour chiffrer les données. Les options disponibles sont Aucun, AES 128 et AES 256. La valeur par défaut est AES 128.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux PFS pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. La valeur par défaut est de 14.
    Hachage (Hash) Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste déroulante :
    • SHA 1
    • SHA 256
    • SHA 384
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
    • SHA 512
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).

    La valeur par défaut est SHA 256.

    Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Entrez le moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la valeur maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
    Note : Le renouvellement de clés doit être initié avant l'expiration de 75 à 80 % de la durée de vie.
    Passerelle VPN secondaire (Secondary VPN Gateway)
    Ajouter (Add) : cliquez sur cette option pour ajouter une passerelle VPN secondaire. Les champs suivants s'affichent.
    Adresse IP publique (Public IP) Entrez une adresse IPv4 ou IPv6 valide.
    Supprimer (Remove) Supprime la passerelle VPN secondaire.
    Laisser le tunnel actif (Keep Tunnel Active) Cochez cette case pour laisser le tunnel VPN secondaire actif pour ce site.
    Les paramètres du tunnel sont identiques à la passerelle VPN principale (Tunnel settings are the same as Primary VPN Gateway) Cochez cette case si vous souhaitez appliquer les mêmes paramètres avancés pour les passerelles principale et secondaire. Vous pouvez choisir d'entrer manuellement les paramètres de la passerelle VPN secondaire.
    Note : Lorsque AWS initie le tunnel de renouvellement de clés avec une instance de VMware SD-WAN Gateway (dans des destinations non-SD-WAN), une panne peut se produire et un tunnel n'est pas établi, ce qui peut provoquer une interruption du trafic. Respectez les points suivants :
    • Les configurations du temporisateur de la durée de vie de la SA IPsec (min) pour SD-WAN Gateway doivent être inférieures à 60 minutes (50 minutes recommandées) pour correspondre à la configuration IPsec par défaut d'AWS.
    • Les groupes DH et PFS DH doivent être mis en correspondance.
  6. La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.
  7. Cliquez sur l'onglet Sous-réseaux de site (Site Subnets) et configurez les éléments suivants :
    Option Description
    Ajouter (Add) Cliquez sur cette option pour ajouter un sous-réseau et une description pour la Destination non-SD-WAN.
    Supprimer (Delete) Cliquez sur cette option pour supprimer le sous-réseau sélectionné.
    Note : Pour prendre en charge le type de centre de données de Destination non-SD-WAN, outre la connexion IPsec, vous devez configurer des sous-réseaux locaux Destination non-SD-WAN dans le système VMware.
  8. Cliquez sur Enregistrer (Save).

Que faire ensuite