Περιγράφει τη διαμόρφωση μιας τοποθεσίας μη VMware SD-WAN με τύπο πύλης AWS VPN

Πληροφορίες γι' αυτήν την εργασία

Μπορείτε να διαμορφώσετε προορισμούς μη SD-WAN μέσω της πύλης μόνο στο επίπεδο Προφίλ και δεν μπορείτε να παρακάμψετε σε επίπεδο Edge SD-WAN.

Διαδικασία

  1. Από τον πίνακα πλοήγησης στο SD-WAN Orchestrator, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).

    Εμφανίζεται η οθόνη Υπηρεσίες (Services).

  2. Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στο κουμπί Νέο (New).

    Εμφανίζεται το παράθυρο διαλόγου Νέοι προορισμοί μη SD-WAN μέσω πύλης (New Non SD-WAN Destinations via Gateway).

  3. Στο πλαίσιο κειμένου Όνομα (Name), εισαγάγετε το όνομα για το στοιχείο Προορισμός μη SD-WAN.
  4. Από το αναπτυσσόμενο μενού Τύπος (Type), επιλέξτε Πύλη AWS VPN (AWS VPN Gateway).

  5. Εισαγάγετε τη διεύθυνση IP για την πρωτεύουσα πύλη VPN και κάντε κλικ στην επιλογή Επόμενο (Next).

    Δημιουργείται ένα στοιχείο Προορισμός μη SD-WAN τύπου πύλης AWS VPN και εμφανίζεται ένα παράθυρο διαλόγου για το στοιχείο Προορισμός μη SD-WAN.

  6. Για να διαμορφώσετε τις ρυθμίσεις διοχέτευσης για την πρωτεύουσα πύλη VPN στο στοιχείο Προορισμός μη SD-WAN, κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).

  7. Στην περιοχή Πρωτεύουσα πύλη VPN (Primary VPN Gateway), μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης:
    Πεδίο Περιγραφή
    Λειτουργία διοχέτευσης (Tunnel Mode) Η λειτουργία Ενεργό-Αναμονή άμεσης ενέργειας υποστηρίζεται στην πύλη SD-WAN. Η ένδειξη Ενεργό/Αναμονή άμεσης ενέργειας εμφανίζεται αυτόματα, υποδεικνύοντας ότι εάν σταματήσει η λειτουργία της ενεργής διοχέτευσης, η διοχέτευση αναμονής (Αναμονή άμεσης ενέργειας) αναλαμβάνει και γίνεται η ενεργή διοχέτευση.
    PSK Το ήδη κοινόχρηστο κλειδί (PSK), το οποίο είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το SD-WAN Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή κωδικό πρόσβασης, εισαγάγετε τον στο πλαίσιο κειμένου.
    Κρυπτογράφηση (Encryption) Επιλέξτε AES 128 ή AES 256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη τιμή είναι AES 128.
    Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο της ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5 και 14. Συνιστάται η χρήση της Ομάδας DH 14.
    PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2 και 5. Η προεπιλεγμένη τιμή είναι «Απενεργοποιημένο».
    Αλγόριθμος ελέγχου ταυτότητας (Authentication Algorithm) Ο αλγόριθμος ελέγχου ταυτότητας για την κεφαλίδα VPN. Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες Αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα μενού:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Η προεπιλεγμένη τιμή είναι SHA 1.
    Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού Ανταλλαγής κλειδιών Internet (IKE) για τα Edge SD-WAN. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
    Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
    Τύπος DPD (DPD Type) Η μέθοδος Dead Peer Detection (DPD) χρησιμοποιείται για να ανιχνευθεί εάν ο ομότιμος ανταλλαγής κλειδιών Internet (IKE) λειτουργεί ή όχι. Εάν ο ομότιμος δεν λειτουργεί, η συσκευή διαγράφει τη συσχέτιση ασφαλείας IPsec και IKE. Επιλέξτε από τη λίστα «Περιοδικό» ή «Κατ' απαίτηση». Η προεπιλεγμένη τιμή είναι «Κατ’ απαίτηση».
    Χρονικό όριο DPD (sec) [DPD Timeout(sec)] Εισάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου).
    Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.
    • Όνομα βιβλιοθήκης: Quicksec
    • Διάστημα διερεύνησης: Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα)
    • Προεπιλεγμένο ελάχιστο διάστημα DPD: 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5).
    • Προεπιλεγμένο ελάχιστο διάστημα DPD + Χρονικό όριο DPD (σε δευτερόλεπτα): 67,5 δευτερόλεπτα
    Σημείωση: Πριν από την έκδοση 5.1.0, μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Ωστόσο, για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα θα προστεθεί στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων).
  8. Για να δημιουργήσετε μια Δευτερεύουσα πύλη VPN γι' αυτόν τον ιστότοπο, κάντε κλικ στο κουμπί Προσθήκη (Add) δίπλα στην επιλογή Δευτερεύουσα πύλη VPN (Secondary VPN Gateway). Στο αναδυόμενο παράθυρο, εισαγάγετε τη διεύθυνση IP της δευτερεύουσας πύλης VPN και κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

    Η Δευτερεύουσα πύλη VPN θα δημιουργηθεί αμέσως γι' αυτόν τον ιστότοπο και θα δημιουργήσει μια διοχέτευση VMware VPN σε αυτήν την πύλη.

  9. Επιλέξτε το πλαίσιο ελέγχου Πλεονάζον VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) για να προσθέσετε πλεονάζουσες διοχετεύσεις για κάθε πύλη VPN. Οποιαδήποτε αλλαγή γίνει στην Κρυπτογράφηση, στην Ομάδα DH ή στο PFS της πρωτεύουσας πύλης VPN θα εφαρμοστεί επίσης στις πλεονάζουσες διοχετεύσεις, αν έχουν ρυθμιστεί οι παράμετροί τους.
  10. Αφού τροποποιήσετε τις ρυθμίσεις διοχέτευσης της πρωτεύουσας πύλης VPN, αποθηκεύστε τις αλλαγές και, στη συνέχεια, κάντε κλικ στην επιλογή Προβολή προτύπου IKE/IPsec (View IKE/IPsec Template) για να προβάλετε την ενημερωμένη διαμόρφωση παραμέτρων διοχέτευσης.

  11. Κάντε κλικ στο παράθυρο διαλόγου Ενημέρωση τοποθεσίας (Update location) που βρίσκεται στην επάνω δεξιά γωνία του παραθύρου διαλόγου Προορισμός μη SD-WAN μέσω πύλης (Non SD-WAN Destination Via Gateway), για να ορίσετε τη θέση για τη διαμορφωμένη τοποθεσία μη VMware SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου SD-WAN Edge ή της καλύτερης πύλης SD-WAN για σύνδεση στο δίκτυο.
  12. Κάτω από την περιοχή Υποδίκτυα τοποθεσίας (Site Subnets), μπορείτε να προσθέσετε υποδίκτυα για την τοποθεσία Non VMware SD-WAN κάνοντας κλικ στο κουμπί + . Χρησιμοποιήστε υποδίκτυα προσαρμοσμένης προέλευσης για να παρακάμψετε τα υποδίκτυα προέλευσης που δρομολογούνται σε αυτήν τη συσκευή VPN. Κανονικά, τα υποδίκτυα προέλευσης προέρχονται από τα υποδίκτυα LAN SD-WAN Edge που δρομολογούνται σε αυτήν τη συσκευή.
    Σημείωση: Τα υποδίκτυα τοποθεσίας θα πρέπει να απενεργοποιηθούν για την ενεργοποίηση μιας διοχέτευσης, εάν δεν έχουν ρυθμιστεί υποδίκτυα τοποθεσίας.
  13. Ελέγξτε το πλαίσιο ελέγχου Ενεργοποίηση διοχετεύσεων [Enable tunnel(s)] είστε έτοιμοι να ξεκινήσετε τη διοχέτευση από την πύλη SD-WAN στις πύλες AWS VPN.
  14. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
  15. Αντιστοιχίστε την υπηρεσία δικτύου τοποθεσίας μη SD-WAN που μόλις δημιουργήθηκε σε ένα προφίλ μεταβαίνοντας στις επιλογές Διαμόρφωση > Προφίλ (Configure > Profiles) στο SD-WAN Orchestrator. Δείτε Διαμόρφωση διοχέτευσης μεταξύ μιας διακλάδωσης και προορισμού μη SD-WAN μέσω πύλης.
  16. Επιστρέψτε στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway) στο SD-WAN Orchestrator μεταβαίνοντας στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
  17. Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), μετακινηθείτε με κύλιση στο όνομα της τοποθεσίας μη SD-WAN και, στη συνέχεια, κάντε κλικ στη σύνδεση Επεξεργασία (Edit) στη στήλη BGP.
  18. Ρυθμίστε τις παραμέτρους του BGP με βάση τις τιμές AWS για τα ακόλουθα υποχρεωτικά πεδία: Τοπικό ASN, Τύπος διοχέτευσης, IP γείτονα και Τοπική IP (από την ενότητα Επιλογές για προχωρημένους). ΣΗΜΕΙΩΣΗ: Ο τύπος διοχέτευσης ενημερώνεται από προεπιλογή. Ανατρέξτε στην τεκμηρίωση του AWS, εάν χρειάζεται. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση BGP μέσω IPsec από πύλες.
  19. Κάντε κλικ στο κουμπί OK για να αποθηκεύσετε τις αλλαγές σας.
  20. Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στη σύνδεση Επεξεργασία (Edit) στη στήλη BFD για ένα στοιχείο Προορισμός μη SD-WAN, για να διαμορφώσετε το BFD. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση BFD για πύλες.

Τι να κάνετε στη συνέχεια

Μπορείτε να ελέγξετε τη συνολική κατάσταση των τοποθεσιών μη SD-WAN στην καρτέλα παρακολούθησης. Δείτε: