Το VMware επιτρέπει στους εταιρικούς χρήστες να ορίσουν και να διαμορφώσουν μια παρουσία Προορισμός μη SD-WAN προκειμένου να δημιουργήσουν ασφαλείς διοχετεύσεις IPSec v4 και v6 απευθείας από ένα SD-WAN Edge σε μία Προορισμός μη SD-WAN. Αυτή η ενότητα σάς επιτρέπει επίσης να διαμορφώσετε τις υπηρεσίες ασφαλείας Cloud.

Διαδικασία

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services) και, στη συνέχεια, στην περιοχή Προορισμοί μη SD-WAN (Non SD-WAN Destinations), αναπτύξτε το στοιχείο Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge).
    1. Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στην επιλογή Νέος (New) ή Νέο NSD μέσω Edge (New NSD via Edge) για να δημιουργήσετε έναν νέο προορισμό μη SD-WAN.
      Σημείωση: Η επιλογή Νέο NSD μέσω Edge (New NSD via Edge) εμφανίζεται μόνο όταν δεν υπάρχουν στοιχεία στον πίνακα.
    2. Είναι διαθέσιμες οι ακόλουθες επιλογές διαμόρφωσης:
      Σημείωση: Για να υποστηρίζεται ο τύπος του κέντρου δεδομένων για το στοιχείο Προορισμός μη SD-WAN, εκτός από τη ρυθμίσεις IKE/IPSec, πρέπει να διαμορφώσετε τοπικά υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN στο σύστημα VMware.
      Επιλογή Περιγραφή
      Γενικά (General)
      Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα όνομα για το Προορισμός μη SD-WAN. Το πεδίο είναι υποχρεωτικό.
      Τύπος υπηρεσίας (Service Type) Επιλέξτε τον τύπο υπηρεσίας από το αναπτυσσόμενο μενού. Οι διαθέσιμες επιλογές είναι Γενικός δρομολογητής IKEv1 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv1 Router (Route Based VPN)], Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)] και Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan). Το πεδίο είναι υποχρεωτικό.
      Λειτουργία διοχέτευσης (Tunnel Mode) Επιλέξτε μια λειτουργία διοχέτευσης από το αναπτυσσόμενο μενού. Οι διαθέσιμες επιλογές είναι Ενεργό/Ενεργό (Active/Active), Ενεργό/Αναμονή άμεσης ενέργειας (Active/Hot-Standby) και Ενεργό/Σε αναμονή (Active/Standby).
      Ρυθμίσεις IKE/IPSec (IKE/IPSec Settings)
      Έκδοση IP Επιλέξτε μια έκδοση IP (IPv4 ή IPv6) της τρέχουσας Προορισμός μη SD-WAN από το αναπτυσσόμενο μενού.
      Πρωτεύουσα πύλη VPN (Primary VPN Gateway)
      Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Το πεδίο είναι υποχρεωτικό.
      Προβολή ρυθμίσεων για προχωρημένους για πρόταση IKE (View advanced settings for IKE Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία.
      Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι AES 128, AES 256, AES 128 GCM, AES 256 GCM, και Αυτόματο (Auto). Η προεπιλεγμένη τιμή είναι AES 128.
      Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από την αναπτυσσόμενη λίστα. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14.
      Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα:
      • SHA 1
      • SHA 256
      • SHA 384
        Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
      • SHA 512
        Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
      • Αυτόματος (Auto)

      Η προεπιλεγμένη τιμή είναι SHA 256.
      Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
      Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.
      Χρονικό όριο DPD (sec) [DPD Timeout(sec)] Εισαγάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου).
      Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.
      • Όνομα βιβλιοθήκης (Library Name): Quicksec
      • Διάστημα διερεύνησης (Probe Interval): Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα)
      • Προεπιλεγμένο ελάχιστο διάστημα DPD (Default Minimum DPD Interval): 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5).
      • Προεπιλεγμένο ελάχιστο διάστημα DPD (Default Minimum DPD interval) + Χρονικό όριο DPD (σε δευτερόλεπτα) [DPD Timeout(sec)]: 67,5 δευτερόλεπτα
      Σημείωση: Για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονικό όριο DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα προστίθεται στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων.
      Προβολή ρυθμίσεων για προχωρημένους για πρόταση IPsec (View advanced settings for IPsec Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία.
      Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι Καμία (None), AES 128 και AES 256. Η προεπιλεγμένη τιμή είναι AES 128.
      PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14.
      Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα:
      • SHA 1
      • SHA 256
      • SHA 384
        Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
      • SHA 512
        Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).

      Η προεπιλεγμένη τιμή είναι SHA 256.
      Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
      Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.
      Δευτερεύουσα πύλη VPN (Secondary VPN Gateway)
      Προσθήκη (Add) – Κάντε κλικ σε αυτήν την επιλογή για να προσθέσετε μια δευτερεύουσα πύλη VPN. Εμφανίζονται τα ακόλουθα πεδία.
      Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6.
      Κατάργηση (Remove) Διαγράφει τη δευτερεύουσα πύλη VPN.
      Οι ρυθμίσεις διοχέτευσης είναι ίδιες με της πρωτεύουσας πύλης VPN (Tunnel settings are the same as Primary VPN Gateway) Επιλέξτε αυτό το πλαίσιο ελέγχου, εάν θέλετε να χρησιμοποιήσετε τις ίδιες ρυθμίσεις για τις πρωτεύουσες και δευτερεύουσες πύλες. Μπορείτε να εισαγάγετε με μη αυτόματο τρόπο τις ρυθμίσεις για τη δευτερεύουσα πύλη VPN.
      Υποδίκτυα τοποθεσίας (Site Subnets)
      Προσθήκη (Add) Κάντε κλικ σε αυτήν την επιλογή, για να προσθέσετε ένα υποδίκτυο και μια περιγραφή για τον προορισμό Προορισμός μη SD-WAN.
      Διαγραφή (Delete) Κάντε κλικ σε αυτήν την επιλογή, για να διαγράψετε το επιλεγμένο υποδίκτυο.
    3. Κάντε κλικ στην επιλογή Αποθήκευση (Save).
  2. Στην περιοχή Υπηρεσίες ασφαλείας Cloud (Cloud Security Services), κάντε κλικ στην επιλογή Νέο (New).
  3. Στο παράθυρο Νέα υπηρεσία ασφαλείας cloud (New Cloud Security Service), εισαγάγετε έναν τύπο υπηρεσίας από το αναπτυσσόμενο μενού. Το SD-WAN VMware υποστηρίζει τους ακόλουθους τύπους CSS:
    • Γενική υπηρεσία ασφαλείας cloud
    • Υπηρεσία ασφαλείας Cloud Symantec / Palo Alto
    • Υπηρεσία ασφαλείας Cloud Zscaler
    1. Εάν έχετε επιλέξει την υπηρεσία ασφαλείας Cloud «Γενική» (Generic) ή «Symantec / Palo Alto» ως Τύπο υπηρεσίας (Service Type), διαμορφώστε τα ακόλουθα πεδία και, στη συνέχεια, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
      Επιλογή Περιγραφή
      Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα περιγραφικό όνομα για την υπηρεσία ασφαλείας cloud.
      Κύριο σημείο παρουσίας/Διακομιστής (Primary Point-of-Presence/Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον κύριο διακομιστή.
      Δευτερεύον σημείο παρουσίας/Διακομιστής (Secondary Point-of-Presence/Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον δευτερεύοντα διακομιστή. Αυτό το πεδίο είναι προαιρετικό.
    2. Εάν έχετε επιλέξει την Υπηρεσία ασφαλείας Cloud Zscaler ως τον Τύπο υπηρεσίας (Service Type), διαμορφώστε τα ακόλουθα πεδία και, στη συνέχεια, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
      Επιλογή Περιγραφή
      Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα περιγραφικό όνομα για την υπηρεσία ασφαλείας cloud.
      Αυτοματοποίηση ανάπτυξης υπηρεσίας cloud (Automate Cloud Service Deployment) Επιλέξτε το πλαίσιο ελέγχου για να ορίσετε αυτόματη ανάπτυξη.
      URL για σύνδεση στο Zscaler (URL for logging in to Zscaler) Μπορείτε να επιλέξετε να χρησιμοποιήσετε την υπάρχουσα διεύθυνση URL Zscaler από την αναπτυσσόμενη λίστα ή να εισαγάγετε μια νέα διεύθυνση URL.
      Κύριος διακομιστής (Primary Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον κύριο διακομιστή.
      Δευτερεύων διακομιστής (Secondary Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον δευτερεύοντα διακομιστή. Αυτό το πεδίο είναι προαιρετικό.
      Έλεγχος εύρυθμης λειτουργίας L7 (L7 Health Check) Επιλέξτε το πλαίσιο ελέγχου για να παρακολουθήσετε την εύρυθμη λειτουργία του διακομιστή Zscaler.
      Σημείωση: Για ένα δεδομένο Edge/προφίλ, ένας χρήστης δεν μπορεί να παρακάμψει τις παραμέτρους ελέγχου εύρυθμης λειτουργίας L7 που έχουν διαμορφωθεί στις υπηρεσίες δικτύου.
      Διάστημα διερεύνησης HTTP (HTTP Probe Interval) Εμφανίζει τη διάρκεια του διαστήματος μεταξύ μεμονωμένων διερευνήσεων HTTP. Το προεπιλεγμένο διάστημα διερεύνησης είναι 5 δευτερόλεπτα.
      Αριθμός επαναλήψεων (Number of Retries) Επιλέξτε τον αριθμό των επαναλήψεων που επιτρέπονται πριν από τη σήμανση της υπηρεσίας cloud ως ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ (DOWN). Η προεπιλεγμένη τιμή είναι 3.
      Όριο RTT (RTT Threshold) Το όριο χρόνου αποστολής και επιστροφής (RTT), εκφραζόμενο σε χιλιοστά του δευτερολέπτου, είναι χρησιμοποιείται για τον υπολογισμό της κατάστασης της υπηρεσίας cloud. Η υπηρεσία cloud επισημαίνεται ως ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ (DOWN) εάν η μετρούμενη RTT είναι πάνω από το διαμορφωμένο όριο. Η προεπιλεγμένη τιμή είναι 3000 χιλιοστά του δευτερολέπτου.
      URL σύνδεσης Zscaler (Zscaler Login URL) Εισαγάγετε τη διεύθυνση URL σύνδεσης και, στη συνέχεια, κάντε κλικ στην επιλογή Σύνδεση σε Zscaler (Login to Zscaler). Αυτό θα σας ανακατευθύνει στην πύλη διαχείρισης Zscaler του επιλεγμένου Zscaler Cloud.
      Σημείωση: Η σύνδεση Σύνδεση σε Zscaler (Login to Zscaler) ενεργοποιείται μόνο εάν εισαγάγετε τη διεύθυνση URL σύνδεσης Zscaler.
      Σημείωση: Για περισσότερες πληροφορίες, δείτε Υπηρεσίες ασφαλείας Cloud.
  4. Ακολουθούν οι άλλες επιλογές που είναι διαθέσιμες στην ενότητα Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge):
    Επιλογή Περιγραφή
    Διαγραφή (Delete) Επιλέξτε ένα στοιχείο και κάντε κλικ σε αυτήν την επιλογή για να το διαγράψετε.
    Στήλες (Columns) Κάντε κλικ και επιλέξτε τις στήλες που θα εμφανίζονται ή θα αποκρύπτονται στη σελίδα.
    Σημείωση: Κάντε κλικ στο εικονίδιο πληροφοριών στο επάνω μέρος του πίνακα, για να προβάλετε το εννοιολογικό διάγραμμα και, στη συνέχεια, αφήστε το ποντίκι σας πάνω από το διάγραμμα για περισσότερες λεπτομέρειες.

Επόμενες ενέργειες