Questa sezione illustra come configurare un sito non VMware SD-WAN di tipo Gateway VPN AWS.
Informazioni su questa attività
La Destinazione non SD-WAN tramite Gateway può essere configurata solo a livello di profilo e non può essere sostituita a livello di SD-WAN Edge.
Procedura
- Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services).
Viene visualizzata la schermata Servizi (Services).
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul pulsante Nuovo (New).
Viene visualizzata la finestra di dialogo Nuova destinazione non SD-WAN tramite gateway (New Non SD-WAN Destination via Gateway).
- Nella casella di testo Nome (Name) immettere il nome per il destinazione non SD-WAN.
- Dal menu a discesa Tipo (Type), selezionare Gateway VPN AWS (AWS VPN Gateway).
- Immettere l'indirizzo IP per il gateway VPN primario e fare clic su Avanti (Next).
Viene creato un destinazione non SD-WAN di tipo Gateway VPN AWS e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
- Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Avanzate (Advanced).
- Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:
Campo Descrizione Modalità tunnel (Tunnel Mode) La modalità Attivo/Hot standby (Active/Hot-Standby) è supportata in SD-WAN Gateway. Attivo/Hot standby (Active/Hot-Standby) viene visualizzato automaticamente per indicare che se il tunnel attivo diventa inattivo, il tunnel di standby (hot standby) subentra e diventa il tunnel attivo. PSK Pre-Shared Key (PSK), che è la chiave di sicurezza per l'autenticazione attraverso il tunnel. SD-WAN Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare la propria chiave PSK o password, immetterla nella casella di testo. Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. Il valore predefinito è AES 128. Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5 e 14. È consigliabile utilizzare il gruppo DH 14. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2 e 5. Il valore predefinito è Disattivato (Deactivated). Algoritmo di autenticazione (Authentication Algorithm) Algoritmo di autenticazione per l'intestazione VPN. Selezionare nell'elenco del menu a discesa una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Il valore predefinito è SHA 1.
Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli SD-WAN Edge. La durata minima delle chiavi IKE è 10 minuti, mentre la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti. Durata SA IPSec (min) (IPsec SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima delle chiavi IPSec è 3 minuti, mentre la durata massima è 480 minuti. Il valore predefinito è 480 minuti. Tipo DPD (DPD Type) Il metodo DPD (Dead Peer Detection) viene utilizzato per rilevare se il peer Internet Key Exchange (IKE) è attivo o inattivo. Se il peer viene rilevato come inattivo, il dispositivo elimina l'associazione di sicurezza IPSec e IKE. Nell'elenco selezionare Periodico (Periodic) o Su richiesta (On Demand). Il valore predefinito è Su richiesta (On Demand). Timeout DPD (sec) (DPD Timeout(sec)) Tempo massimo che il dispositivo deve attendere per ricevere una risposta al messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disattivare DPD configurando il timer del timeout DPD su 0 secondi. - Per creare un gateway VPN secondario per questo sito, fare clic sul pulsante Aggiungi (Add) accanto a Gateway VPN secondario (Secondary VPN Gateway). Nella finestra popup, immettere l'indirizzo IP del gateway VPN secondario e fare clic su Salva modifiche (Save Changes).
Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.
- Selezionare la casella di controllo VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN) per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate alla crittografia, al gruppo DH oppure al PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati.
- Dopo aver modificato le impostazioni del tunnel del gateway VPN primario, salvare le modifiche e quindi fare clic su Visualizza modello IKE/IPSec (View IKE/IPSec Template) per visualizzare la configurazione del tunnel aggiornata.
- Fare clic sul link Aggiorna posizione (Update location) nell'angolo superiore destro della finestra di dialogo Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination Via Gateway) per impostare la posizione del sito non VMware SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'SD-WAN Edge o l'SD-WAN Gateway migliore a cui connettersi nella rete.
- Nell'area Subnet del sito (Site Subnets), è possibile aggiungere subnet per il sito non VMware SD-WAN facendo clic sul pulsante +. Utilizzare Subnet di origine personalizzate (Custom Source Subnets) per sostituire le subnet di origine instradate verso questo dispositivo VPN. Le subnet di origine derivano in genere dalle subnet LAN dell'SD-WAN Edge instradate verso questo dispositivo.
Nota: Se non sono configurate subnet del sito, per abilitare un tunnel è necessario disattivare le subnet del sito.
- Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) quando si è pronti per avviare il tunnel da SD-WAN Gateway ai gateway VPN AWS.
- Fare clic su Salva modifiche (Save Changes).
- Assegnare il servizio di rete del sito non SD-WAN appena creato a un profilo passando a Configura (Configure) > Profili (Profiles) in SD-WAN Orchestrator. Vedere Configurazione di un tunnel tra una filiale e una destinazione non SD-WAN tramite gateway.
- Tornare all'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) in SD-WAN Orchestrator passando a Configura (Configure) > Servizi di rete (Network Services).
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), scorrere fino al nome del sito non SD-WAN e quindi fare clic sul link Modifica (Edit) nella colonna BGP.
- Configurare il BGP in base ai valori di AWS per i seguenti campi obbligatori: ASN locale (Local ASN), Tipo di tunnel (Tunnel Type), IP router adiacente (Neighbor IP) e IP locale (Local IP), nella sezione Opzioni avanzate (Advanced Options). NOTA: il tipo di tunnel viene aggiornato per impostazione predefinita. Se necessario, fare riferimento alla documentazione di AWS. Per ulteriori informazioni, vedere Configurazione di BGP su IPSec dai gateway.
- Fare clic sul pulsante OK per salvare le modifiche.
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul link Modifica (Edit) nella colonna BFD per una destinazione non SD-WAN, per configurare le impostazioni di BFD. Per ulteriori informazioni, vedere Configurazione di BFD per i Gateway.
Passaggi successivi
È possibile controllare lo stato generale dei siti non SD-WAN nella scheda di monitoraggio. Vedere: