Πρόκειται για μια υπηρεσία που σας παρέχει τη δυνατότητα να δημιουργήσετε διαμορφώσεις διοχέτευσης VPN για να αποκτήσετε πρόσβαση σε ένα ή περισσότερα στοιχεία Προορισμοί μη SD-WAN. Το VMware παρέχει τη διαμόρφωση που απαιτείται για τη δημιουργία των διοχετεύσεων - συμπεριλαμβανομένης της δημιουργίας διαμόρφωσης IKE IPsec και της δημιουργίας ενός προ-κοινόχρηστου κλειδιού.
Επισκόπηση
Το παρακάτω σχήμα εμφανίζει μια επισκόπηση των διοχετεύσεων VPN που μπορούν να δημιουργηθούν μεταξύ του VMware και ενός Προορισμός μη SD-WAN.
Προαιρετικά, μπορεί να καθοριστεί μια διεύθυνση IP για μια δευτερεύουσα πύλη VPN για τον σχηματισμό δευτερεύουσας διοχέτευσης VPN μεταξύ ενός στοιχείου Πύλη SD-WAN και της δευτερεύουσας πύλης VPN. Μπορούν να καθοριστούν πλεονάζουσες διοχετεύσεις VPN για τυχόν διοχετεύσεις VPN που δημιουργείτε.
Διαμόρφωση στοιχείου Προορισμός μη SD-WAN τύπου πύλης AWS VPN
Επιλογή | Περιγραφή |
---|---|
Γενικά | |
Όνομα | Μπορείτε να επεξεργαστείτε το όνομα που είχε εισαχθεί προηγουμένως για το Προορισμός μη SD-WAN. |
Τύπος (Type) | Εμφανίζει τον τύπο ως Πύλη AWS VPN (AWS VPN Gateway). Δεν μπορείτε να επεξεργαστείτε αυτήν την επιλογή. |
Ενεργοποίηση διοχέτευσης | Κάντε κλικ στο κουμπί εναλλαγής για να ξεκινήσετε τη διοχέτευση από την πύλη SD-WAN στην πύλη AWS VPN. |
Λειτουργία διοχέτευσης (Tunnel Mode) | Εμφανίζεται η ένδειξη Ενεργό/Αναμονή άμεσης ενέργειας (Active/Hot-Standby), υποδεικνύοντας ότι, εάν σταματήσει η λειτουργία της ενεργής διοχέτευσης, η διοχέτευση αναμονής (αναμονή άμεσης ενέργειας) αναλαμβάνει και γίνεται η ενεργή διοχέτευση. |
Πρωτεύουσα πύλη VPN (Primary VPN Gateway) | |
Δημόσια IP (Public IP) | Εμφανίζεται η διεύθυνση IP της πρωτεύουσας πύλης VPN. |
PSK | Το ήδη κοινόχρηστο κλειδί (PSK) είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το SD-WAN Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή κωδικό πρόσβασης, εισαγάγετέ τα στο πλαίσιο κειμένου. |
Κρυπτογράφηση (Encryption) | Επιλέξτε AES-128 ή AES-256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη τιμή είναι AES-128. |
Ομάδα DH (DH Group) | Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από το αναπτυσσόμενο μενού. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, και 14. Η προεπιλεγμένη τιμή είναι 2. |
PFS | Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι απενεργοποιημένη (deactivated), 2 και 5. Η προεπιλεγμένη τιμή είναι 2. |
Αλγόριθμος ελέγχου ταυτότητας (Authentication Algorithm) | Επιλέξτε τον αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN. Επιλέξτε μία από τις υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από το αναπτυσσόμενο μενού:
Η προεπιλεγμένη τιμή είναι SHA 1. |
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] | Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού Ανταλλαγής κλειδιών Internet (IKE) για τα Edge SD-WAN. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά. |
Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] | Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά. |
Τύπος DPD (DPD Type) | Η μέθοδος Dead Peer Detection (DPD) χρησιμοποιείται για να ανιχνευθεί εάν ο ομότιμος ανταλλαγής κλειδιών Internet (IKE) λειτουργεί ή όχι. Εάν ο ομότιμος δεν λειτουργεί, η συσκευή διαγράφει τη συσχέτιση ασφαλείας IPsec και IKE. Επιλέξτε Περιοδικό (Periodic) ή Κατ' απαίτηση (onDemand) από το αναπτυσσόμενο μενού. Η προεπιλεγμένη τιμή είναι Κατ' απαίτηση (onDemand). |
Χρονικό όριο DPD (sec) [DPD Timeout(sec)] | Εισάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου).
Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.
Σημείωση: Πριν από την έκδοση 5.1.0, μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Ωστόσο, για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα θα προστεθεί στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων).
|
Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) | Κάντε κλικ στο κουμπί Προσθήκη (Add) και, στη συνέχεια, πληκτρολογήστε τη διεύθυνση IP της δευτερεύουσας πύλης VPN. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes). Η δευτερεύουσα πύλη VPN δημιουργείται αμέσως για αυτήν την τοποθεσία και παρέχει μια διοχέτευση VPN VMware σε αυτήν την πύλη. |
Πλεονάζον VMware Cloud VPN | Επιλέξτε το πλαίσιο ελέγχου για να προσθέσετε πλεονάζουσες διοχετεύσεις για κάθε πύλη VPN. Οι αλλαγές που γίνονται στην Κρυπτογράφηση (Encryption), στην Ομάδα DH (DH Group) ή στο PFS της πρωτεύουσας πύλης VPN θα εφαρμοστούν επίσης στις πλεονάζουσες διοχετεύσεις VPN, αν έχουν διαμορφωθεί. |
Αναγνωριστικό τοπικού ελέγχου ταυτότητας | Το τοπικό αναγνωριστικό ελέγχου ταυτότητας προσδιορίζει τη μορφή και την αναγνώριση της τοπικής πύλης. Από το αναπτυσσόμενο μενού, επιλέξτε από τους ακόλουθους τύπους και εισαγάγετε μια τιμή:
Σημείωση: Εάν δεν καθορίσετε μια τιμή, η
Προεπιλογή (Default) χρησιμοποιείται ως τοπικό αναγνωριστικό ελέγχου ταυτότητας.
|
Δείγμα IKE / IPSec | Κάντε κλικ για να προβάλετε τις πληροφορίες που απαιτούνται για τη διαμόρφωση της πύλης Προορισμός μη SD-WAN. Ο διαχειριστής πύλης θα πρέπει να χρησιμοποιήσει αυτές τις πληροφορίες για να διαμορφώσει την ή τις διοχετεύσεις πύλης VPN. |
Τοποθεσία (Location) | Κάντε κλικ στην επιλογή Επεξεργασία (Edit) για να ορίσετε τη θέση για τη διαμορφωμένη Προορισμός μη SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου Edge ή της καλύτερης πύλης για σύνδεση στο δίκτυο. |
Υποδίκτυα τοποθεσίας | Χρησιμοποιήστε το κουμπί εναλλαγής, για να ενεργοποιήσετε ή να απενεργοποιήσετε τα Υποδίκτυα τοποθεσίας (Site Subnets). Κάντε κλικ στην επιλογή Προσθήκη (Add), για να προσθέσετε υποδίκτυα για τη λειτουργία Προορισμός μη SD-WAN. Εάν δεν χρειάζεστε υποδίκτυα για την τοποθεσία, επιλέξτε το υποδίκτυο και κάντε κλικ στην επιλογή Διαγραφή (Delete).
Σημείωση:
|