Questa sezione illustra come configurare un destinazione non SD-WAN di tipo Router IKEv1 generico (VPN basata su route) (Generic IKEv1 Router (Route Based VPN)) tramite SD-WAN Edge in SD-WAN Orchestrator.
Procedura
- Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services).
Viene visualizzata la schermata Servizi (Services).
- Nell'area Destinazione non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), fare clic sul pulsante Nuovo (New).
Viene visualizzata la finestra di dialogo Destinazione non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge).
- Nella casella di testo Nome servizio (Service Name) immettere un nome per il destinazione non SD-WAN.
- Dal menu a discesa Tipo di servizio (Service Type), selezionare Router IKEv1 generico (VPN basata su route) (Generic IKEv1 Router (Route Based VPN)) come tipo di tunnel IPSec.
- Fare clic su Avanti (Next).
Viene creato un destinazione non SD-WAN basato su route di tipo IKEv1 e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
- In Gateway VPN primario (Primary VPN Gateway), nella casella di testo IP pubblico (Public IP), immettere l'indirizzo IP del gateway VPN primario.
- Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Avanzate (Advanced).
- Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:
Campo Descrizione Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. Se non si desidera crittografare i dati, selezionare Null. Il valore predefinito è AES 128. Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. Il valore predefinito è Disattivato (Deactivated). Hash Algoritmo di autenticazione per l'intestazione VPN. Selezionare nell'elenco una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Il valore predefinito è SHA 256.
Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima delle chiavi IKE è 10 minuti, mentre la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti. Durata SA IPSec (min) (IPsec SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima delle chiavi IPSec è 3 minuti, mentre la durata massima è 480 minuti. Il valore predefinito è 480 minuti. Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Tempo massimo che il dispositivo deve attendere per ricevere una risposta al messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disattivare DPD configurando il timer del timeout DPD su 0 secondi. Nota: Quando AWS avvia il tunnel di ridefinizione delle chiavi con un VMware SD-WAN Gateway (in Destinazione non SD-WAN), è possibile che si verifichi un errore e che il tunnel non venga stabilito causando l'interruzione del traffico. Attenersi alle linee guida seguenti:- La configurazione del timer Durata SA IPSec (min) (IPsec SA Lifetime(min)) per il SD-WAN Gateway deve essere inferiore a 60 minuti (consigliati 50 minuti) per corrispondere alla configurazione IPSec predefinita di AWS.
- I gruppi DH e PFS DH devono corrispondere.
- Se si desidera creare un gateway VPN secondario per questo sito, selezionare la casella di controllo Gateway VPN secondario (Secondary VPN Gateway) e quindi immettere l'indirizzo IP del gateway VPN secondario nella casella di testo IP pubblico (Public IP).
Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.
- Selezionare la casella di controllo Mantieni attivo il tunnel (Keep Tunnel Active) per mantenere attivo il tunnel VPN secondario per questo sito.
- Selezionare la casella di controllo Le impostazioni del tunnel sono uguali a quelle del gateway VPN primario (Tunnel settings are same as Primary VPN Gateway) per applicare le stesse impostazioni del tunnel del gateway VPN primario.
Tutte le modifiche apportate alle impostazioni del tunnel del gateway VPN primario verranno applicate anche ai tunnel VPN secondari, se sono configurati.
- In Subnet del sito (Site Subnets), è possibile aggiungere subnet per il destinazione non SD-WAN facendo clic sul pulsante +.
Nota: Per supportare il tipo di data center del destinazione non SD-WAN, oltre alla connessione IPSec, sarà necessario configurare le subnet locali del destinazione non SD-WAN nel sistema VMware.
- Fare clic su Salva modifiche (Save Changes).