Questa sezione illustra come configurare un Non VMware SD-WAN Site di tipo Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) tramite SD-WAN Edge in SD-WAN Orchestrator.
Procedura
- Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services).
Viene visualizzata la schermata Servizi (Services).
- Nell'area Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), fare clic sul pulsante Nuovo (New).
Viene visualizzata la finestra di dialogo Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge).
- Nella casella di testo Nome servizio (Service Name) immettere un nome per il Non VMware SD-WAN Site.
- Dal menu a discesa Tipo di servizio (Service Type), selezionare Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) come tipo di tunnel IPSec.
- Fare clic su Avanti (Next).
Viene creato un Non VMware SD-WAN Site basato su route di tipo IKEv2 e viene visualizzata una finestra di dialogo per il Non VMware SD-WAN Site.
- In Gateway VPN primario (Primary VPN Gateway), nella casella di testo IP pubblico (Public IP), immettere l'indirizzo IP del gateway VPN primario.
- Per configurare le impostazioni del tunnel per il gateway VPN primario del Non VMware SD-WAN Site, fare clic sul pulsante Avanzate (Advanced).
- Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:
Campo Descrizione Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. Se non si desidera crittografare i dati, selezionare Null. Il valore predefinito è AES 128. Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. Il valore predefinito è Disabilitato (Disabled). Hash Algoritmo di autenticazione per l'intestazione VPN. Selezionare nell'elenco una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Il valore predefinito è SHA 256.
Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima delle chiavi IKE è 10 minuti e la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti. Durata SA IPSec (min) (IPsec SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima delle chiavi IPSec è 3 minuti e la durata massima è 480 minuti. Il valore predefinito è 480 minuti. Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Tempo massimo che il dispositivo deve attendere per ricevere una risposta al messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disabilitare DPD configurando il timer del timeout DPD su 0 secondi. Nota: Quando AWS avvia il tunnel di ridefinizione delle chiavi con un VMware SD-WAN Gateway (nelle destinazioni non SD-WAN), è possibile che si verifichi un errore e che il tunnel non venga stabilito causando l'interruzione del traffico. Attenersi alle linee guida seguenti:- La configurazione del timer Durata SA IPSec (min) (IPsec SA Lifetime(min)) per il SD-WAN Gateway deve essere inferiore a 60 minuti (consigliati 50 minuti) per corrispondere alla configurazione IPSec predefinita di AWS.
- I gruppi DH e PFS DH devono corrispondere.
- Se si desidera creare un gateway VPN secondario per questo sito, selezionare la casella di controllo Gateway VPN secondario (Secondary VPN Gateway) e quindi immettere l'indirizzo IP del gateway VPN secondario nella casella di testo IP pubblico (Public IP).
Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.
- Selezionare la casella di controllo Mantieni attivo il tunnel (Keep Tunnel Active) per mantenere attivo il tunnel VPN secondario per questo sito.
- Selezionare la casella di controllo Le impostazioni del tunnel sono uguali a quelle del gateway VPN primario (Tunnel settings are same as Primary VPN Gateway) per applicare le stesse impostazioni del tunnel del gateway VPN primario.
Tutte le modifiche apportate alle impostazioni del tunnel del gateway VPN primario verranno applicate anche ai tunnel VPN secondari, se sono configurati.
- In Subnet del sito (Site Subnets), è possibile aggiungere subnet per il Non VMware SD-WAN Site facendo clic sul pulsante +.
Nota: Per supportare il tipo di data center del Non VMware SD-WAN Site, oltre alla connessione IPSec, sarà necessario configurare le subnet locali del Non VMware SD-WAN Site nel sistema VMware.
- Fare clic su Salva modifiche (Save Changes).