Περιγράφει τον τρόπο διαμόρφωσης στοιχείου Προορισμός μη SD-WAN τύπου Cisco ISR στο SD-WAN Orchestrator.
Διαδικασία
- Από τον πίνακα πλοήγησης στο SD-WAN Orchestrator, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
Εμφανίζεται η οθόνη Υπηρεσίες (Services).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στο κουμπί Νέο (New).
Εμφανίζεται το παράθυρο διαλόγου Νέοι προορισμοί μη SD-WAN μέσω πύλης (New Non SD-WAN Destinations via Gateway).
- Στο πλαίσιο κειμένου Όνομα (Name), εισαγάγετε το όνομα για το στοιχείο Προορισμός μη SD-WAN.
- Από το αναπτυσσόμενο μενού Τύπος (Type), επιλέξτε Cisco ISR.
- Εισαγάγετε τη διεύθυνση IP για την πρωτεύουσα πύλη VPN και κάντε κλικ στην επιλογή Επόμενο (Next).
Δημιουργείται ένας Προορισμός μη SD-WAN τύπου Cisco ISR και εμφανίζεται ένα παράθυρο διαλόγου για το στοιχείο Προορισμός μη SD-WAN.
- Για να διαμορφώσετε τις ρυθμίσεις διοχέτευσης για την πρωτεύουσα πύλη VPN στο στοιχείο Προορισμός μη SD-WAN, κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).
- Στην περιοχή Πρωτεύουσα πύλη VPN (Primary VPN Gateway), μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης:
Πεδίο Περιγραφή Λειτουργία διοχέτευσης (Tunnel Mode) Η λειτουργία Ενεργό-Αναμονή άμεσης ενέργειας υποστηρίζεται στην πύλη SD-WAN. Η ένδειξη Ενεργό/Αναμονή άμεσης ενέργειας εμφανίζεται αυτόματα, υποδεικνύοντας ότι εάν σταματήσει η λειτουργία της ενεργής διοχέτευσης, η διοχέτευση αναμονής (Αναμονή άμεσης ενέργειας) αναλαμβάνει και γίνεται η ενεργή διοχέτευση. PSK Το ήδη κοινόχρηστο κλειδί (PSK), το οποίο είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή τον δικό σας κωδικό πρόσβασης μπορείτε να τα εισαγάγετε στο πλαίσιο κειμένου. Κρυπτογράφηση (Encryption) Επιλέξτε AES 128 ή AES 256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη τιμή είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο της ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5 και 14. Συνιστάται η χρήση της Ομάδας DH 14. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2 και 5. Η προεπιλεγμένη τιμή είναι απενεργοποιημένο. - Αν θέλετε να δημιουργήσετε μια δευτερεύουσα πύλη VPN για αυτήν την τοποθεσία, κάντε κλικ στο κουμπί Προσθήκη (Add) δίπλα στην επιλογή Δευτερεύουσα πύλη VPN (Secondary VPN Gateway). Στο αναδυόμενο παράθυρο, εισαγάγετε τη διεύθυνση IP της δευτερεύουσας πύλης VPN και κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
Η δευτερεύουσα πύλη VPN θα δημιουργηθεί αμέσως για αυτήν την τοποθεσία και θα παρασχεθεί μια διοχέτευση VPN VMware SD-WAN σε αυτήν την πύλη.
Σημείωση:Από προεπιλογή, για το στοιχείο Προορισμός μη SD-WAN Cisco ISR, η τοπική τιμή αναγνωριστικού ελέγχου ταυτότητας που χρησιμοποιείται είναι η τοπική IP διασύνδεσης για την Πύλη SD-WAN.
- Επιλέξτε το πλαίσιο ελέγχου Πλεονάζον VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) για να προσθέσετε πλεονάζουσες διοχετεύσεις για κάθε πύλη VPN.
Οποιαδήποτε αλλαγή γίνει στην Κρυπτογράφηση, στην Ομάδα DH ή στο PFS της πρωτεύουσας πύλης VPN θα εφαρμοστεί επίσης στις πλεονάζουσες διοχετεύσεις, αν έχουν ρυθμιστεί οι παράμετροί τους. Αφού τροποποιήσετε τις ρυθμίσεις διοχέτευσης της πρωτεύουσας πύλης VPN, αποθηκεύστε τις αλλαγές και, στη συνέχεια, κάντε κλικ στην επιλογή Προβολή προτύπου IKE/IPsec (View IKE/IPsec Template) για να προβάλετε την ενημερωμένη διαμόρφωση διοχέτευσης.
- Κάντε κλικ στη σύνδεση Ενημέρωση τοποθεσίας (Update location), για να ορίσετε τη θέση για το διαμορφωμένο στοιχείο Προορισμός μη SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου SD-WAN Edge ή της καλύτερης πύλης SD-WAN για σύνδεση στο δίκτυο.
- Στην περιοχή Υποδίκτυα τοποθεσίας (Site Subnets), προσθέστε υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN κάνοντας κλικ στο κουμπί +.
Σημείωση: Για το Cisco ISR, είναι υποχρεωτικό να ρυθμιστούν παράμετροι υποδικτύων τοποθεσίας.
- Επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση διοχέτευσης [Enable Tunnel(s)], μόλις είστε έτοιμοι να ξεκινήσετε τη διοχέτευση από την Πύλη SD-WAN προς τις πύλες VPN Cisco ISR.
- Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
- Αντιστοιχίστε την υπηρεσία δικτύου τοποθεσίας μη SD-WAN που μόλις δημιουργήθηκε σε ένα προφίλ μεταβαίνοντας στις επιλογές Διαμόρφωση > Προφίλ (Configure > Profiles) στο SD-WAN Orchestrator. Δείτε Διαμόρφωση διοχέτευσης μεταξύ μιας διακλάδωσης και προορισμού μη SD-WAN μέσω πύλης.
- Επιστρέψτε στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway) στο SD-WAN Orchestrator μεταβαίνοντας στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), μετακινηθείτε με κύλιση στο όνομα της τοποθεσίας μη SD-WAN και, στη συνέχεια, κάντε κλικ στη σύνδεση Επεξεργασία (Edit) στη στήλη BGP.
- Διαμορφώστε το BGP με βάση τις τιμές Cisco ISR για τα ακόλουθα υποχρεωτικά πεδία: Τοπικό ASN, Τύπος διοχέτευσης, Γειτονική IP και Τοπική IP (από την ενότητα Επιλογές για προχωρημένους). Ανατρέξτε στην τεκμηρίωση της Cisco, εάν χρειάζεται. Για περισσότερες πληροφορίες, βλ. Διαμόρφωση BGP μέσω IPsec από πύλες.
Σημείωση: Η IP VTI (ιδιωτική IP) που εκχωρείται από το SD-WAN Orchestrator μπορεί να χρησιμοποιηθεί για ομότιμη αποστολή σε BGP μίας μεταπήδησης.
- Κάντε κλικ στο OK για να αποθηκεύσετε τις αλλαγές σας.
- Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στη σύνδεση Επεξεργασία (Edit) στη στήλη BFD για ένα στοιχείο Προορισμός μη SD-WAN, για να διαμορφώσετε το BFD. Για περισσότερες πληροφορίες, βλ. Διαμόρφωση BFD για πύλες.
