Περιγράφει τον τρόπο διαμόρφωσης στοιχείου Προορισμός μη SD-WAN τύπου Γενικού δρομολογητή IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)] μέσω SD-WAN Edge στο SD-WAN Orchestrator.
Διαδικασία
- Από τον πίνακα πλοήγησης στο SD-WAN Orchestrator, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
Εμφανίζεται η οθόνη Υπηρεσίες (Services).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στο κουμπί Νέο (New).
Εμφανίζεται το παράθυρο διαλόγου Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge).
- Στο πλαίσιο κειμένου Όνομα υπηρεσίας (Service Name), εισαγάγετε ένα όνομα για το στοιχείο Προορισμός μη SD-WAN.
- Από το αναπτυσσόμενο μενού Τύπος υπηρεσίας (Service Type), επιλέξτε Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)] ως τύπο διοχέτευσης IPSec.
- Κάντε κλικ στο κουμπί Επόμενο (Next).
Δημιουργείται Προορισμός μη SD-WAN τύπου IKEv2 με βάση δρομολόγηση και εμφανίζεται ένα παράθυρο διαλόγου για το στοιχείο Προορισμός μη SD-WAN.
- Στην περιοχή Πρωτεύουσα πύλη VPN (Primary VPN Gateway), στο πλαίσιο κειμένου Δημόσια IP (Public IP), εισαγάγετε τη διεύθυνση IP της πρωτεύουσας πύλης VPN.
- Για να διαμορφώσετε τις ρυθμίσεις διοχέτευσης για την πρωτεύουσα πύλη VPN στο στοιχείο Προορισμός μη SD-WAN, κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).
- Στην περιοχή Πρωτεύουσα πύλη VPN (Primary VPN Gateway), μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης:
Πεδίο Περιγραφή Κρυπτογράφηση (Encryption) Επιλέξτε AES 128 ή AES 256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Εάν δεν θέλετε να κρυπτογραφηθούν δεδομένα, επιλέξτε Null. Η προεπιλεγμένη τιμή είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο της ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15 και 16. Συνιστάται η χρήση της Ομάδας DH 14. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15 και 16. Η προεπιλεγμένη τιμή είναι «Απενεργοποιημένο». Κατακερματισμός (Hash) Ο αλγόριθμος ελέγχου ταυτότητας για την κεφαλίδα VPN. Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες ασφαλούς αλγόριθμου κατακερματισμού (SHA) από τη λίστα: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά. Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά. Χρονόμετρο λήξης χρονικού ορίου DPD (δευτ.) [DPD Timeout Timer(sec)] Εισάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου). Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.- Όνομα βιβλιοθήκης: Quicksec
- Διάστημα διερεύνησης: Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα)
- Προεπιλεγμένο ελάχιστο διάστημα DPD: 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5).
- Προεπιλεγμένο ελάχιστο διάστημα DPD + Χρονικό όριο DPD (σε δευτερόλεπτα): 67,5 δευτερόλεπτα
Σημείωση: Πριν από την έκδοση 5.1.0, μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Ωστόσο, για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα θα προστεθεί στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων).Σημείωση: Όταν το AWS ξεκινήσει τη διοχέτευση δημιουργίας νέου κλειδιού με μια Πύλη VMware SD-WAN (σε προορισμούς μη SD-WAN), ενδέχεται να υπάρξει αστοχία και να μην δημιουργηθεί διοχέτευση, κάτι που μπορεί να προκαλέσει διακοπή της κυκλοφορίας. Τηρήστε τα εξής:- Οι διαμορφώσεις χρονομέτρου διάρκειας ζωής IPsec SA (λεπτά) για την Πύλη SD-WAN πρέπει να είναι μικρότερες από 60 λεπτά (συνιστάται να είναι 50 λεπτά) για να ταιριάζουν με την προεπιλεγμένη διαμόρφωση IPsec του AWS.
- Οι ομάδες DH και PFS DH πρέπει να αντιστοιχιστούν.
- Αν θέλετε να δημιουργήσετε μια δευτερεύουσα πύλη VPN για αυτήν την τοποθεσία, επιλέξτε το πλαίσιο ελέγχου Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) και, στη συνέχεια, εισαγάγετε τη διεύθυνση IP της δευτερεύουσας πύλης VPN στο πλαίσιο κειμένου Δημόσια IP (Public IP).
Η δευτερεύουσα πύλη VPN θα δημιουργηθεί αμέσως για αυτήν την τοποθεσία και θα παρασχεθεί μια διοχέτευση VPN VMware σε αυτήν την πύλη.
- Επιλέξτε το πλαίσιο ελέγχου Διατήρηση ενεργής διοχέτευσης (Keep Tunnel Active), για να διατηρηθεί ενεργή η δευτερεύουσα διοχέτευση VPN για αυτήν την τοποθεσία.
- Επιλέξτε το πλαίσιο ελέγχου Οι ρυθμίσεις διοχέτευσης είναι ίδιες με της πρωτεύουσας πύλης VPN (Tunnel settings are same as Primary VPN Gateway), για να εφαρμοστούν οι ίδιες ρυθμίσεις διοχέτευσης με εκείνες της πρωτεύουσας πύλης VPN.
Οποιαδήποτε αλλαγή γίνει στις ρυθμίσεις διοχέτευσης της πρωτεύουσας πύλης VPN θα εφαρμοστεί επίσης στις δευτερεύουσες διοχετεύσεις VPN, αν έχουν ρυθμιστεί οι παράμετροί τους.
- Στην περιοχή Υποδίκτυα τοποθεσίας (Site Subnets), μπορείτε να προσθέσετε υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN κάνοντας κλικ στο κουμπί +.
Σημείωση: Για να υποστηρίζεται ο τύπος του κέντρου δεδομένων για το στοιχείο Προορισμός μη SD-WAN, εκτός από τη σύνδεση IPSec, θα πρέπει να διαμορφώσετε τοπικά υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN στο σύστημα VMware.
- Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).