Ακολουθήστε τα παρακάτω βήματα για διαμόρφωση του στοιχείου Προορισμός μη SD-WAN τύπου Γενικό τείχος προστασίας (VPN βασισμένο σε πολιτική) [Generic Firewall (Policy Based VPN)] στο SASE Orchestrator.
Διαδικασία
- Αφού δημιουργήσετε μια διαμόρφωση Προορισμός μη SD-WAN τύπου Γενικό τείχος προστασίας (VPN βάσει πολιτικής) , ανακατευθύνεστε σε μια σελίδα πρόσθετων επιλογών διαμόρφωσης:
Σημείωση: Η Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) δεν υποστηρίζεται για τον τύπο υπηρεσίας Γενικό τείχος προστασίας (VPN βασισμένο σε πολιτική) [Generic Firewall (Policy Based VPN)].
- Μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης:
Επιλογή Περιγραφή Γενικά (General) Όνομα (Name) Μπορείτε να επεξεργαστείτε το όνομα που είχε εισαχθεί προηγουμένως για το Προορισμός μη SD-WAN. Τύπος (Type) Εμφανίζει τον τύπο ως Γενικό τείχος προστασίας (VPN βάσει πολιτικής) [Generic Firewall (Policy Based VPN)]. Δεν μπορείτε να επεξεργαστείτε αυτήν την επιλογή. Ενεργοποίηση διοχέτευσης [Enable Tunnel(s)] Κάντε κλικ στο κουμπί εναλλαγής για να ξεκινήσετε τη διοχέτευση από την πύλη SD-WAN στην πύλη VPN Γενικού τείχους προστασίας. Λειτουργία διοχέτευσης (Tunnel Mode) Εμφανίζεται η ένδειξη Ενεργό/Αναμονή άμεσης ενέργειας (Active/Hot-Standby), υποδεικνύοντας ότι, εάν σταματήσει η λειτουργία της ενεργής διοχέτευσης, η διοχέτευση αναμονής (αναμονή άμεσης ενέργειας) αναλαμβάνει και γίνεται η ενεργή διοχέτευση. Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Δημόσια IP (Public IP) Εμφανίζεται η διεύθυνση IP της πρωτεύουσας πύλης VPN. PSK Το ήδη κοινόχρηστο κλειδί (PSK) είναι το κλειδί ασφαλείας για έλεγχο ταυτότητας σε όλη τη διοχέτευση. Το SASE Orchestrator δημιουργεί ένα PSK από προεπιλογή. Εάν θέλετε να χρησιμοποιήσετε το δικό σας PSK ή κωδικό πρόσβασης, εισαγάγετέ τα στο πλαίσιο κειμένου. Σημείωση: Ξεκινώντας από την έκδοση 4.5, η χρήση του ειδικού χαρακτήρα «<» στον κωδικό πρόσβασης δεν υποστηρίζεται πλέον. Σε περιπτώσεις όπου οι χρήστες έχουν ήδη χρησιμοποιήσει το «<» στους κωδικούς πρόσβασής τους σε προηγούμενες εκδόσεις, πρέπει να το αφαιρέσουν για να αποθηκεύσουν τυχόν αλλαγές στη σελίδα.Κρυπτογράφηση (Encryption) Επιλέξτε AES-128 ή AES-256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη τιμή είναι AES-128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από το αναπτυσσόμενο μενού. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, και 14. Η προεπιλεγμένη τιμή είναι 2. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι απενεργοποιημένη (deactivated), 2 και 5. Η προεπιλεγμένη τιμή είναι απενεργοποιημένο. Αναγνωριστικό τοπικού ελέγχου ταυτότητας (Local Auth Id) Το τοπικό αναγνωριστικό ελέγχου ταυτότητας προσδιορίζει τη μορφή και την αναγνώριση της τοπικής πύλης. Από το αναπτυσσόμενο μενού, επιλέξτε από τους ακόλουθους τύπους και εισαγάγετε μια τιμή: - FQDN - Το πλήρως προσδιορισμένο όνομα τομέα ή όνομα κεντρικού υπολογιστή. Για παράδειγμα: vmware.com
- FQDN χρήστη (User FQDN) - Το πλήρως προσδιορισμένο όνομα τομέα χρήστη με τη μορφή διεύθυνσης email. Για παράδειγμα: [email protected]
- IPv4 - Η διεύθυνση IP που χρησιμοποιείται για την επικοινωνία με την τοπική πύλη.
- IPv6 - Η διεύθυνση IP που χρησιμοποιείται για την επικοινωνία με την τοπική πύλη.
Σημείωση:- Εάν δεν καθορίσετε μια τιμή, η Προεπιλογή (Default) χρησιμοποιείται ως τοπικό αναγνωριστικό ελέγχου ταυτότητας.
- Η προεπιλεγμένη τιμή τοπικού αναγνωριστικού ελέγχου ταυτότητας είναι η τοπική διεύθυνση IP διασύνδεσης για την Πύλη SD-WAN.
Δείγμα IKE / IPSec (Sample IKE / IPsec) Κάντε κλικ για να προβάλετε τις πληροφορίες που απαιτούνται για τη διαμόρφωση της πύλης Προορισμός μη SD-WAN. Ο διαχειριστής πύλης θα πρέπει να χρησιμοποιήσει αυτές τις πληροφορίες για να διαμορφώσει την ή τις διοχετεύσεις πύλης VPN. Σημείωση: Προς το παρόν, η υποστηριζόμενη έκδοση IKE είναι η IKEv1.Τοποθεσία (Location) Κάντε κλικ στην επιλογή Επεξεργασία (Edit) για να ορίσετε τη θέση για τη διαμορφωμένη Προορισμός μη SD-WAN. Οι λεπτομέρειες γεωγραφικού πλάτους και μήκους χρησιμοποιούνται για τον προσδιορισμό του καλύτερου Edge ή της καλύτερης πύλης για σύνδεση στο δίκτυο. Υποδίκτυα τοποθεσίας (Site Subnets) Χρησιμοποιήστε το κουμπί εναλλαγής, για να ενεργοποιήσετε ή να απενεργοποιήσετε τα Υποδίκτυα τοποθεσίας (Site Subnets). Κάντε κλικ στην επιλογή Προσθήκη (Add), για να προσθέσετε υποδίκτυα για τη λειτουργία Προορισμός μη SD-WAN. Εάν δεν χρειάζεστε υποδίκτυα για την τοποθεσία, επιλέξτε το υποδίκτυο και κάντε κλικ στην επιλογή Διαγραφή (Delete). Σημείωση:- Για να υποστηρίζεται ο τύπος του κέντρου δεδομένων για το στοιχείο Προορισμός μη SD-WAN, εκτός από τη σύνδεση IPSec, πρέπει να διαμορφώσετε τοπικά υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN στο σύστημα VMware.
- Εάν δεν έχουν διαμορφωθεί υποδίκτυα τοποθεσίας, απενεργοποιήστε το στοιχείο Υποδίκτυα τοποθεσίας (Site Subnets) για να ενεργοποιήσετε τη διοχέτευση.
Προσαρμοσμένα υποδίκτυα τοποθεσίας (Custom Site Subnets) Χρησιμοποιήστε αυτήν την ενότητα για να παρακάμψετε τα υποδίκτυα προέλευσης που δρομολογούνται σε αυτήν τη συσκευή VPN. Κανονικά, τα υποδίκτυα προέλευσης προέρχονται από τα υποδίκτυα LAN Edge που δρομολογούνται προς αυτήν τη συσκευή. - Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).