Το VMware επιτρέπει στους εταιρικούς χρήστες να ορίσουν και να διαμορφώσουν μια παρουσία για ένα στοιχείο Προορισμός μη SD-WAN και να δημιουργήσουν μια ασφαλή διοχέτευση IPSec απευθείας από ένα στοιχείο SD-WAN Edge σε ένα στοιχείο Προορισμός μη SD-WAN. Αυτή η ενότητα σάς επιτρέπει επίσης να διαμορφώσετε τις υπηρεσίες ασφαλείας Cloud.
Διαδικασία
- Στην πύλη επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση (Configure) > Υπηρεσίες δικτύου (Network Services) και, στη συνέχεια, στην περιοχή Προορισμοί μη SD-WAN (Non SD-WAN Destinations), αναπτύξτε το στοιχείο Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στην επιλογή Νέος (New) ή Νέο NSD μέσω Edge (New NSD via Edge) για να δημιουργήσετε έναν νέο προορισμό μη SD-WAN.
Σημείωση: Η επιλογή Νέο NSD μέσω Edge (New NSD via Edge) εμφανίζεται μόνο όταν δεν υπάρχουν στοιχεία στον πίνακα.
- Είναι διαθέσιμες οι ακόλουθες επιλογές διαμόρφωσης:
Επιλογή Περιγραφή Γενικά (General) Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα όνομα για το Προορισμός μη SD-WAN. Το πεδίο είναι υποχρεωτικό. Τύπος υπηρεσίας (Service Type) Επιλέξτε τον τύπο υπηρεσίας από το αναπτυσσόμενο μενού. Οι διαθέσιμες επιλογές είναι Γενικός δρομολογητής IKEv1 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv1 Router (Route Based VPN)], Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)] και Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan). Το πεδίο είναι υποχρεωτικό. Λειτουργία διοχέτευσης (Tunnel Mode) Επιλέξτε μια λειτουργία διοχέτευσης από το αναπτυσσόμενο μενού. Οι διαθέσιμες επιλογές είναι Ενεργό/Ενεργό (Active/Active), Ενεργό/Αναμονή άμεσης ενέργειας (Active/Hot-Standby) και Ενεργό/Σε αναμονή (Active/Standby). Ρυθμίσεις IKE/IPSec (IKE/IPSec Settings) Έκδοση IP Εμφανίζει την έκδοση IP της τρέχουσας τοποθεσίας Προορισμός μη SD-WAN. Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Το πεδίο είναι υποχρεωτικό. Προβολή ρυθμίσεων για προχωρημένους για πρόταση IKE (View advanced settings for IKE Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία. Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι AES 128, AES 256, AES 128 GCM, AES 256 GCM, και Αυτόματο (Auto). Η προεπιλεγμένη τιμή είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από την αναπτυσσόμενη λίστα. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14. Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα: - SHA 1
- SHA 256
- SHA 384
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- Αυτόματος
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά. Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.Χρονικό όριο DPD (sec) [DPD Timeout(sec)] Εισάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου). Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.- Όνομα βιβλιοθήκης: Quicksec
- Διάστημα διερεύνησης: Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα)
- Προεπιλεγμένο ελάχιστο διάστημα DPD: 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5).
- Προεπιλεγμένο ελάχιστο διάστημα DPD + Χρονικό όριο DPD (σε δευτερόλεπτα): 67,5 δευτερόλεπτα
Σημείωση: Πριν από την έκδοση 5.1.0, μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Ωστόσο, για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα θα προστεθεί στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων).Προβολή ρυθμίσεων για προχωρημένους για πρόταση IPsec (View advanced settings for IPsec Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία. Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι Καμία (None), AES 128 και AES 256. Η προεπιλεγμένη τιμή είναι AES 128. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14. Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα: - SHA 1
- SHA 256
- SHA 384
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά. Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) Προσθήκη (Add) – Κάντε κλικ σε αυτήν την επιλογή για να προσθέσετε μια δευτερεύουσα πύλη VPN. Εμφανίζονται τα ακόλουθα πεδία. Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Κατάργηση Διαγράφει τη δευτερεύουσα πύλη VPN. Οι ρυθμίσεις διοχέτευσης είναι ίδιες με της πρωτεύουσας πύλης VPN Επιλέξτε αυτό το πλαίσιο ελέγχου, εάν θέλετε να χρησιμοποιήσετε τις ίδιες ρυθμίσεις για τις πρωτεύουσες και δευτερεύουσες πύλες. Μπορείτε να εισαγάγετε χειροκίνητα τις ρυθμίσεις για τη δευτερεύουσα πύλη VPN. Υποδίκτυα τοποθεσίας (Site Subnets) Προσθήκη Κάντε κλικ σε αυτήν την επιλογή, για να προσθέσετε ένα υποδίκτυο και μια περιγραφή για τον προορισμό Προορισμός μη SD-WAN. Διαγραφή Κάντε κλικ σε αυτήν την επιλογή, για να διαγράψετε το επιλεγμένο υποδίκτυο. - Κάντε κλικ στην επιλογή Αποθήκευση (Save).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στην επιλογή Νέος (New) ή Νέο NSD μέσω Edge (New NSD via Edge) για να δημιουργήσετε έναν νέο προορισμό μη SD-WAN.
- Στην περιοχή Υπηρεσίες ασφαλείας Cloud (Cloud Security Services), κάντε κλικ στην επιλογή Νέο (New).
- Στο παράθυρο Νέα υπηρεσία ασφαλείας cloud (New Cloud Security Service), εισαγάγετε έναν τύπο υπηρεσίας από το αναπτυσσόμενο μενού. Το SD-WAN VMware υποστηρίζει τους ακόλουθους τύπους CSS:
- Γενική υπηρεσία ασφαλείας cloud
- Υπηρεσία ασφαλείας Cloud Symantec / Palo Alto
- Υπηρεσία ασφαλείας Cloud Zscaler
- Εάν έχετε επιλέξει την υπηρεσία ασφαλείας Cloud «Γενική» (Generic) ή «Symantec / Palo Alto» ως Τύπο υπηρεσίας (Service Type), διαμορφώστε τα ακόλουθα πεδία και, στη συνέχεια, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
Επιλογή Περιγραφή Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα περιγραφικό όνομα για την υπηρεσία ασφαλείας cloud. Κύριο σημείο παρουσίας/Διακομιστής (Primary Point-of-Presence/Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον κύριο διακομιστή. Δευτερεύον σημείο παρουσίας/Διακομιστής (Secondary Point-of-Presence/Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον δευτερεύοντα διακομιστή. Αυτό το πεδίο είναι προαιρετικό. - Εάν έχετε επιλέξει την Υπηρεσία ασφαλείας Cloud Zscaler ως τον Τύπο υπηρεσίας (Service Type), διαμορφώστε τα ακόλουθα πεδία και, στη συνέχεια, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
Επιλογή Περιγραφή Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα περιγραφικό όνομα για την υπηρεσία ασφαλείας cloud. Αυτοματοποίηση ανάπτυξης υπηρεσίας cloud Επιλέξτε το πλαίσιο ελέγχου για να ορίσετε αυτόματη ανάπτυξη. URL για σύνδεση στο Zscaler Μπορείτε να επιλέξετε να χρησιμοποιήσετε την υπάρχουσα διεύθυνση URL Zscaler από την αναπτυσσόμενη λίστα ή να εισαγάγετε μια νέα διεύθυνση URL. Κύριος διακομιστής Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον κύριο διακομιστή. Δευτερεύων διακομιστής Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον δευτερεύοντα διακομιστή. Αυτό το πεδίο είναι προαιρετικό. Έλεγχος εύρυθμης λειτουργίας L7 (L7 Health Check) Επιλέξτε το πλαίσιο ελέγχου για να παρακολουθήσετε την εύρυθμη λειτουργία του διακομιστή Zscaler. Σημείωση: Για ένα δεδομένο Edge/προφίλ, ένας χρήστης δεν μπορεί να παρακάμψει τις παραμέτρους ελέγχου εύρυθμης λειτουργίας L7 που έχουν διαμορφωθεί στις υπηρεσίες δικτύου.Διάστημα διερεύνησης HTTP (HTTP Probe Interval) Εμφανίζει τη διάρκεια του διαστήματος μεταξύ μεμονωμένων διερευνήσεων HTTP. Το προεπιλεγμένο διάστημα διερεύνησης είναι 5 δευτερόλεπτα. Αριθμός επαναλήψεων (Number of Retries) Επιλέξτε τον αριθμό των επαναλήψεων που επιτρέπονται πριν από τη σήμανση της υπηρεσίας cloud ως ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ (DOWN). Η προεπιλεγμένη τιμή είναι 3. Όριο RTT (RTT Threshold) Το όριο χρόνου αποστολής και επιστροφής (RTT), εκφραζόμενο σε χιλιοστά του δευτερολέπτου, είναι χρησιμοποιείται για τον υπολογισμό της κατάστασης της υπηρεσίας cloud. Η υπηρεσία cloud επισημαίνεται ως ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ (DOWN) εάν η μετρούμενη RTT είναι πάνω από το διαμορφωμένο όριο. Η προεπιλεγμένη τιμή είναι 3000 χιλιοστά του δευτερολέπτου. URL σύνδεσης Zscaler (Zscaler Login URL) Εισαγάγετε τη διεύθυνση URL σύνδεσης και, στη συνέχεια, κάντε κλικ στην επιλογή Σύνδεση σε Zscaler (Login to Zscaler). Αυτό θα σας ανακατευθύνει στην πύλη διαχείρισης Zscaler του επιλεγμένου Zscaler Cloud. Σημείωση: Η σύνδεση Σύνδεση σε Zscaler (Login to Zscaler) ενεργοποιείται μόνο εάν εισαγάγετε τη διεύθυνση URL σύνδεσης Zscaler.
- Ακολουθούν οι άλλες επιλογές που είναι διαθέσιμες στην ενότητα Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge):
Επιλογή Περιγραφή Διαγραφή Επιλέξτε ένα στοιχείο και κάντε κλικ σε αυτήν την επιλογή για να το διαγράψετε. Στήλες Κάντε κλικ και επιλέξτε τις στήλες που θα εμφανίζονται ή θα αποκρύπτονται στη σελίδα. Σημείωση: Κάντε κλικ στο εικονίδιο πληροφοριών στο επάνω μέρος του πίνακα, για να προβάλετε το εννοιολογικό διάγραμμα και, στη συνέχεια, αφήστε το ποντίκι σας πάνω από το διάγραμμα για περισσότερες λεπτομέρειες.