Περιγράφει τον τρόπο διαμόρφωσης στοιχείου Προορισμός μη SD-WAN τύπου Γενικού τείχους προστασίας (VPN βασισμένο σε πολιτική) (Generic Firewall (Policy Based VPN)) στο SD-WAN Orchestrator.
Διαδικασία
- Από τον πίνακα πλοήγησης στο SD-WAN Orchestrator, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
Εμφανίζεται η οθόνη Υπηρεσίες (Services).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στο κουμπί Νέο (New).
Εμφανίζεται το παράθυρο διαλόγου Νέοι προορισμοί μη SD-WAN μέσω πύλης (New Non SD-WAN Destinations via Gateway).
- Στο πλαίσιο κειμένου Όνομα (Name), εισαγάγετε το όνομα για το στοιχείο Προορισμός μη SD-WAN.
- Από το αναπτυσσόμενο μενού Τύπος (Type), επιλέξτε Γενικό τείχος προστασίας (VPN βασισμένο σε πολιτική) (Generic Firewall (Policy Based VPN)).
- Εισαγάγετε τη διεύθυνση IP για την πρωτεύουσα πύλη VPN και κάντε κλικ στην επιλογή Επόμενο (Next).
Δημιουργείται ένα στοιχείο Προορισμός μη SD-WAN τύπου Γενικού τείχους προστασίας (VPN βασισμένο σε πολιτική) και εμφανίζεται ένα παράθυρο διαλόγου για το στοιχείο Προορισμός μη SD-WAN.
- Για να διαμορφώσετε τις ρυθμίσεις διοχέτευσης για την πρωτεύουσα πύλη VPN στο στοιχείο Προορισμός μη SD-WAN, κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).
- Στην περιοχή Πρωτεύουσα πύλη VPN (Primary VPN Gateway), μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης:
Πεδίο Περιγραφή PSK Το ήδη κοινόχρηστο κλειδί (PSK), το οποίο είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή τον δικό σας κωδικό πρόσβασης μπορείτε να τα εισαγάγετε στο πλαίσιο κειμένου. Σημείωση: Ξεκινώντας από την έκδοση 4.5, η χρήση του ειδικού χαρακτήρα «<» στον κωδικό πρόσβασης δεν υποστηρίζεται πλέον. Σε περιπτώσεις όπου οι χρήστες έχουν ήδη χρησιμοποιήσει το «<» στους κωδικούς πρόσβασής τους σε προηγούμενες εκδόσεις, πρέπει να το αφαιρέσουν για να αποθηκεύσουν τυχόν αλλαγές στη σελίδα.Κρυπτογράφηση (Encryption) Επιλέξτε AES 128 ή AES 256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη τιμή είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο της ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5 και 14. Συνιστάται η χρήση της Ομάδας DH 14. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2 και 5. Η προεπιλεγμένη τιμή είναι απενεργοποιημένο. Σημείωση: Η δευτερεύουσα πύλη VPN δεν υποστηρίζεται για τον τύπο υπηρεσίας δικτύου γενικού τείχους προστασίας (VPN βασισμένο σε πολιτική). - Επιλέξτε το πλαίσιο ελέγχου Πλεονάζον VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) για να προσθέσετε πλεονάζουσες διοχετεύσεις για κάθε πύλη VPN.
Οποιαδήποτε αλλαγή γίνει στην Κρυπτογράφηση, στην Ομάδα DH ή στο PFS της πρωτεύουσας πύλης VPN θα εφαρμοστεί επίσης στις πλεονάζουσες διοχετεύσεις, αν έχουν ρυθμιστεί οι παράμετροί τους. Αφού τροποποιήσετε τις ρυθμίσεις διοχέτευσης της πρωτεύουσας πύλης VPN, αποθηκεύστε τις αλλαγές και, στη συνέχεια, κάντε κλικ στην επιλογή Προβολή προτύπου IKE/IPSec (View IKE/IPSec Template) για να προβάλετε την ενημερωμένη διαμόρφωση διοχέτευσης.Σημείωση: Προς το παρόν, η υποστηριζόμενη έκδοση IKE είναι η IKEv1.
- Κάντε κλικ στη σύνδεση Ενημέρωση τοποθεσίας (Update location), για να ορίσετε τη θέση για το διαμορφωμένο στοιχείο Προορισμός μη SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου Edge ή της καλύτερης πύλης για σύνδεση στο δίκτυο.
- Το τοπικό αναγνωριστικό ελέγχου ταυτότητας προσδιορίζει τη μορφή και την αναγνώριση της τοπικής πύλης. Από το αναπτυσσόμενο μενού Αναγνωριστικό τοπικού ελέγχου ταυτότητας (Local Auth Id), επιλέξτε από τους ακόλουθους τύπους και εισαγάγετε μια τιμή που καθορίζετε:
- FQDN - Το πλήρως προσδιορισμένο όνομα τομέα ή όνομα κεντρικού υπολογιστή. Για παράδειγμα, google.com.
- FQDN χρήστη (User FQDN) - Το πλήρως προσδιορισμένο όνομα τομέα χρήστη με τη μορφή διεύθυνσης email. Για παράδειγμα, [email protected].
- IPv4 - Η διεύθυνση IP που χρησιμοποιείται για την επικοινωνία με την τοπική πύλη.
Σημείωση:Για το Γενικό τείχος προστασίας (VPN βασισμένο σε πολιτική), αν ο χρήστης δεν καθορίζει τιμή, η ρύθμιση Προεπιλογή (Default) χρησιμοποιείται ως τοπικό αναγνωριστικό ελέγχου ταυτότητας. Η προεπιλεγμένη τιμή τοπικού αναγνωριστικού ελέγχου ταυτότητας θα είναι η τοπική IP διασύνδεσης για την Πύλη SD-WAN.
- Στην περιοχή Υποδίκτυα τοποθεσίας (Site Subnets), μπορείτε να προσθέσετε υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN κάνοντας κλικ στο κουμπί +. Εάν δεν χρειάζεστε υποδίκτυα για την τοποθεσία, επιλέξτε το πλαίσιο ελέγχου Απενεργοποίηση υποδικτύων τοποθεσίας (Deactivate Site Subnets).
- Χρησιμοποιήστε τα Προσαρμοσμένα υποδίκτυα προέλευσης (Custom Source Subnets) για να παρακάμψετε τα υποδίκτυα προέλευσης που δρομολογούνται προς αυτήν τη συσκευή VPN. Κανονικά, τα υποδίκτυα προέλευσης προέρχονται από τα υποδίκτυα LAN edge που δρομολογούνται προς αυτήν τη συσκευή.
- Επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση διοχέτευσης [Enable Tunnel(s)], μόλις είστε έτοιμοι να ξεκινήσετε τη διοχέτευση από την Πύλη SD-WAN προς τις πύλες VPN του Γενικού τείχους προστασίας (VPN βασισμένο σε πολιτική).
- Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).