Πρόκειται για μια υπηρεσία που σας παρέχει τη δυνατότητα να δημιουργήσετε διαμορφώσεις διοχέτευσης VPN για να αποκτήσετε πρόσβαση σε ένα ή περισσότερα στοιχεία Προορισμοί μη SD-WAN. Το VMware παρέχει τη διαμόρφωση που απαιτείται για τη δημιουργία των διοχετεύσεων - συμπεριλαμβανομένης της δημιουργίας διαμόρφωσης IKE IPsec και της δημιουργίας ενός προ-κοινόχρηστου κλειδιού.
Επισκόπηση
Το παρακάτω σχήμα εμφανίζει μια επισκόπηση των διοχετεύσεων VPN που μπορούν να δημιουργηθούν μεταξύ του VMware και ενός Προορισμός μη SD-WAN.
Σημείωση: Απαιτείται να καθοριστεί μια διεύθυνση IP για μια πρωτεύουσα πύλη VPN στο
Προορισμός μη SD-WAN. Η διεύθυνση IP χρησιμοποιείται για τον σχηματισμό πρωτεύουσας διοχέτευσης VPN μεταξύ μιας
Πύλη SD-WAN και της πρωτεύουσας πύλης VPN.
Προαιρετικά, μπορεί να καθοριστεί μια διεύθυνση IP για μια δευτερεύουσα πύλη VPN για τον σχηματισμό δευτερεύουσας διοχέτευσης VPN μεταξύ ενός στοιχείου Πύλη SD-WAN και της δευτερεύουσας πύλης VPN. Μπορούν να καθοριστούν πλεονάζουσες διοχετεύσεις VPN για τυχόν διοχετεύσεις VPN που δημιουργείτε.
Διαμόρφωση στοιχείου Προορισμός μη SD-WAN τύπου πύλης AWS VPN
Αφού δημιουργήσετε μια διαμόρφωση
Προορισμός μη SD-WAN τύπου
Πύλη AWS VPN (AWS VPN Gateway), ανακατευθύνεστε σε μια σελίδα πρόσθετων επιλογών διαμόρφωσης:
Μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης και να κάνετε κλικ στην επιλογή
Αποθήκευση αλλαγών (Save Changes).
Επιλογή
Περιγραφή
Γενικά (General)
Όνομα (Name)
Μπορείτε να επεξεργαστείτε το όνομα που είχε εισαχθεί προηγουμένως για το Προορισμός μη SD-WAN.
Τύπος (Type)
Εμφανίζει τον τύπο ως Πύλη AWS VPN (AWS VPN Gateway). Δεν μπορείτε να επεξεργαστείτε αυτήν την επιλογή.
Ενεργοποίηση διοχέτευσης [Enable Tunnel(s)]
Κάντε κλικ στο κουμπί εναλλαγής για να ξεκινήσετε τη διοχέτευση από την πύλη SD-WAN στην πύλη AWS VPN.
Λειτουργία διοχέτευσης (Tunnel Mode)
Εμφανίζεται η ένδειξη Ενεργό/Αναμονή άμεσης ενέργειας (Active/Hot-Standby), υποδεικνύοντας ότι, εάν σταματήσει η λειτουργία της ενεργής διοχέτευσης, η διοχέτευση αναμονής (αναμονή άμεσης ενέργειας) αναλαμβάνει και γίνεται η ενεργή διοχέτευση.
Πρωτεύουσα πύλη VPN (Primary VPN Gateway)
Δημόσια IP (Public IP)
Εμφανίζεται η διεύθυνση IP της πρωτεύουσας πύλης VPN.
PSK
Το ήδη κοινόχρηστο κλειδί (PSK) είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το SASE Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή κωδικό πρόσβασης, εισαγάγετέ τα στο πλαίσιο κειμένου.
Κρυπτογράφηση (Encryption)
Επιλέξτε AES-128 ή AES-256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη τιμή είναι AES-128.
Ομάδα DH (DH Group)
Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από το αναπτυσσόμενο μενού. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, και 14. Η προεπιλεγμένη τιμή είναι 2.
PFS
Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι απενεργοποιημένη (deactivated), 2 και 5. Η προεπιλεγμένη τιμή είναι 2.
Επιλέξτε τον αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN. Επιλέξτε μία από τις υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από το αναπτυσσόμενο μενού:
SHA 1
SHA256
SHA384
SHA512
Η προεπιλεγμένη τιμή είναι SHA 1.
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)]
Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού Ανταλλαγής κλειδιών Internet (IKE) για τα Edge SD-WAN. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)]
Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
Τύπος DPD (DPD Type)
Η μέθοδος Dead Peer Detection (DPD) χρησιμοποιείται για να ανιχνευθεί εάν ο ομότιμος ανταλλαγής κλειδιών Internet (IKE) λειτουργεί ή όχι. Εάν ο ομότιμος δεν λειτουργεί, η συσκευή διαγράφει τη συσχέτιση ασφαλείας IPsec και IKE. Επιλέξτε Περιοδικό (Periodic) ή Κατ' απαίτηση (onDemand) από το αναπτυσσόμενο μενού. Η προεπιλεγμένη τιμή είναι Κατ' απαίτηση (onDemand).
Χρονικό όριο DPD (sec) [DPD Timeout(sec)]
Εισαγάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου).
Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.
Σημείωση: Πριν από την έκδοση 5.1.0, μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Ωστόσο, για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα θα προστεθεί στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων).
Δευτερεύουσα πύλη VPN (Secondary VPN Gateway)
Κάντε κλικ στο κουμπί Προσθήκη (Add) και, στη συνέχεια, πληκτρολογήστε τη διεύθυνση IP της δευτερεύουσας πύλης VPN. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
Η δευτερεύουσα πύλη VPN δημιουργείται αμέσως για αυτήν την τοποθεσία και παρέχει μια διοχέτευση VPN VMware σε αυτήν την πύλη.
Πλεονάζον VMware Cloud VPN
Επιλέξτε το πλαίσιο ελέγχου για να προσθέσετε πλεονάζουσες διοχετεύσεις για κάθε πύλη VPN. Οι αλλαγές που γίνονται στην Κρυπτογράφηση (Encryption), στην Ομάδα DH (DH Group) ή στο PFS της πρωτεύουσας πύλης VPN θα εφαρμοστούν επίσης στις πλεονάζουσες διοχετεύσεις VPN, αν έχουν διαμορφωθεί.
Αναγνωριστικό τοπικού ελέγχου ταυτότητας
Το τοπικό αναγνωριστικό ελέγχου ταυτότητας προσδιορίζει τη μορφή και την αναγνώριση της τοπικής πύλης. Από το αναπτυσσόμενο μενού, επιλέξτε από τους ακόλουθους τύπους και εισαγάγετε μια τιμή:
FQDN - Το πλήρως προσδιορισμένο όνομα τομέα ή όνομα κεντρικού υπολογιστή. Για παράδειγμα: vmware.com
FQDN χρήστη (User FQDN) - Το πλήρως προσδιορισμένο όνομα τομέα χρήστη με τη μορφή διεύθυνσης email. Για παράδειγμα: [email protected]
IPv4 - Η διεύθυνση IP που χρησιμοποιείται για την επικοινωνία με την τοπική πύλη.
IPv6 - Η διεύθυνση IP που χρησιμοποιείται για την επικοινωνία με την τοπική πύλη.
Σημείωση: Εάν δεν καθορίσετε μια τιμή, η
Προεπιλογή (Default) χρησιμοποιείται ως τοπικό αναγνωριστικό ελέγχου ταυτότητας.
Δείγμα IKE / IPSec
Κάντε κλικ για να προβάλετε τις πληροφορίες που απαιτούνται για τη διαμόρφωση της πύλης Προορισμός μη SD-WAN. Ο διαχειριστής πύλης θα πρέπει να χρησιμοποιήσει αυτές τις πληροφορίες για να διαμορφώσει την ή τις διοχετεύσεις πύλης VPN.
Τοποθεσία (Location)
Κάντε κλικ στην επιλογή Επεξεργασία (Edit) για να ορίσετε τη θέση για τη διαμορφωμένη Προορισμός μη SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου Edge ή της καλύτερης πύλης για σύνδεση στο δίκτυο.
Υποδίκτυα τοποθεσίας
Χρησιμοποιήστε το κουμπί εναλλαγής, για να ενεργοποιήσετε ή να απενεργοποιήσετε τα Υποδίκτυα τοποθεσίας (Site Subnets). Κάντε κλικ στην επιλογή Προσθήκη (Add), για να προσθέσετε υποδίκτυα για τη λειτουργία Προορισμός μη SD-WAN. Εάν δεν χρειάζεστε υποδίκτυα για την τοποθεσία, επιλέξτε το υποδίκτυο και κάντε κλικ στην επιλογή Διαγραφή (Delete).
Σημείωση:
Για να υποστηρίζεται ο τύπος του κέντρου δεδομένων για το στοιχείο Προορισμός μη SD-WAN, εκτός από τη σύνδεση IPSec, πρέπει να διαμορφώσετε τοπικά υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN στο σύστημα VMware.
Εάν δεν έχουν διαμορφωθεί υποδίκτυα τοποθεσίας, απενεργοποιήστε το στοιχείο Υποδίκτυα τοποθεσίας (Site Subnets) για να ενεργοποιήσετε τη διοχέτευση.
