Αυτό το θέμα περιγράφει τον τρόπο διαμόρφωσης ενός στοιχείου Προορισμός μη SD-WAN τύπου Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)] από το SD-WAN Edge στο SASE Orchestrator.
Διαδικασία
- Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στο κουμπί Νέο (New).
Εμφανίζεται το παράθυρο διαλόγου Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge).
- Στο πλαίσιο κειμένου Όνομα υπηρεσίας (Service Name), εισαγάγετε ένα όνομα για το στοιχείο Προορισμός μη SD-WAN.
- Από το αναπτυσσόμενο μενού Τύπος υπηρεσίας (Service Type), επιλέξτε Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)] ως τύπο διοχέτευσης IPSec.
- Κάντε κλικ στην καρτέλα Ρυθμίσεις IKE/IPSec (IKE/IPSec Settings) και διαμορφώστε τις ακόλουθες παραμέτρους:
Επιλογή Περιγραφή Έκδοση IP (IP Version) Επιλέξτε μια έκδοση IP (IPv4 ή IPv6) της τρέχουσας Προορισμός μη SD-WAN από το αναπτυσσόμενο μενού. Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Το πεδίο είναι υποχρεωτικό. Προβολή ρυθμίσεων για προχωρημένους για πρόταση IKE (View advanced settings for IKE Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία. Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι AES 128, AES 256, AES 128 GCM, AES 256 GCM, και Αυτόματο (Auto). Η προεπιλεγμένη τιμή είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από την αναπτυσσόμενη λίστα. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14. Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα: - SHA 1
- SHA 256
- SHA 384
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- Αυτόματος
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά. Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.Χρονικό όριο DPD (sec) [DPD Timeout(sec)] Εισαγάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου). Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.- Όνομα βιβλιοθήκης (Library Name): Quicksec
- Διάστημα διερεύνησης (Probe Interval): Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα)
- Προεπιλεγμένο ελάχιστο διάστημα DPD (Default Minimum DPD Interval): 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5).
- Προεπιλεγμένο ελάχιστο διάστημα DPD (Default Minimum DPD interval) + Χρονικό όριο DPD (σε δευτερόλεπτα) [DPD Timeout(sec)]: 67,5 δευτερόλεπτα
Σημείωση: Για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονικό όριο DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα προστίθεται στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων.Προβολή ρυθμίσεων για προχωρημένους για πρόταση IPsec (View advanced settings for IPsec Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία. Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι Καμία (None), AES 128 και AES 256. Η προεπιλεγμένη τιμή είναι AES 128. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14. Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα: - SHA 1
- SHA 256
- SHA 384
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά. Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) Προσθήκη (Add) – Κάντε κλικ σε αυτήν την επιλογή για να προσθέσετε μια δευτερεύουσα πύλη VPN. Εμφανίζονται τα ακόλουθα πεδία. Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Κατάργηση (Remove) Διαγράφει τη δευτερεύουσα πύλη VPN. Διατήρηση ενεργής διοχέτευσης (Keep Tunnel Active) Επιλέξτε αυτό το πλαίσιο ελέγχου, για να διατηρηθεί ενεργή η δευτερεύουσα διοχέτευση VPN για αυτήν την τοποθεσία. Οι ρυθμίσεις διοχέτευσης είναι ίδιες με της πρωτεύουσας πύλης VPN Επιλέξτε αυτό το πλαίσιο ελέγχου, εάν θέλετε να εφαρμοστούν οι ίδιες ρυθμίσεις για προχωρημένους για την πρωτεύουσα και τη δευτερεύουσα πύλη. Μπορείτε να εισαγάγετε με μη αυτόματο τρόπο τις ρυθμίσεις για τη δευτερεύουσα πύλη VPN. Σημείωση: Όταν το AWS ξεκινήσει τη διοχέτευση δημιουργίας νέου κλειδιού με μια Πύλη VMware SD-WAN (σε προορισμούς μη SD-WAN), ενδέχεται να υπάρξει αστοχία και να μην δημιουργηθεί διοχέτευση, κάτι που μπορεί να προκαλέσει διακοπή της κυκλοφορίας. Τηρήστε τα εξής:- Οι διαμορφώσεις χρονομέτρου διάρκειας ζωής IPsec SA (λεπτά) για την Πύλη SD-WAN πρέπει να είναι μικρότερες από 60 λεπτά (συνιστάται να είναι 50 λεπτά) για να ταιριάζουν με την προεπιλεγμένη διαμόρφωση IPsec του AWS.
- Οι ομάδες DH και PFS DH πρέπει να αντιστοιχιστούν.
- Η δευτερεύουσα πύλη VPN δημιουργείται αμέσως για αυτήν την τοποθεσία και παρέχει μια διοχέτευση VPN VMware σε αυτήν την πύλη.
- Κάντε κλικ στην καρτέλα Υποδίκτυα τοποθεσίας (Site Subnets) και διαμορφώστε τα εξής:
Επιλογή Περιγραφή Προσθήκη (Add) Κάντε κλικ σε αυτήν την επιλογή, για να προσθέσετε ένα υποδίκτυο και μια περιγραφή για τον προορισμό Προορισμός μη SD-WAN. Διαγραφή (Delete) Κάντε κλικ σε αυτήν την επιλογή, για να διαγράψετε το επιλεγμένο υποδίκτυο. Σημείωση: Για να υποστηρίζεται ο τύπος του κέντρου δεδομένων για το στοιχείο Προορισμός μη SD-WAN, εκτός από τη σύνδεση IPSec, πρέπει να διαμορφώσετε τοπικά υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN στο σύστημα VMware. - Κάντε κλικ στην επιλογή Αποθήκευση (Save).