Questa sezione illustra come configurare un destinazione non SD-WAN di tipo Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) tramite SD-WAN Edge in SD-WAN Orchestrator.

Procedura

  1. Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services).
    Viene visualizzata la schermata Servizi (Services).
  2. Nell'area Destinazione non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), fare clic sul pulsante Nuovo (New).
    Viene visualizzata la finestra di dialogo Destinazione non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge).
  3. Nella casella di testo Nome servizio (Service Name) immettere un nome per il destinazione non SD-WAN.
  4. Dal menu a discesa Tipo di servizio (Service Type), selezionare Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) come tipo di tunnel IPSec.
  5. Fare clic su Avanti (Next).
    Viene creato un destinazione non SD-WAN basato su route di tipo IKEv2 e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
  6. In Gateway VPN primario (Primary VPN Gateway), nella casella di testo IP pubblico (Public IP), immettere l'indirizzo IP del gateway VPN primario.
  7. Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Avanzate (Advanced).
  8. Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:
    Campo Descrizione
    Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. Se non si desidera crittografare i dati, selezionare Null. Il valore predefinito è AES 128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. Il valore predefinito è Disattivato (Deactivated).
    Hash Algoritmo di autenticazione per l'intestazione VPN. Selezionare nell'elenco una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Il valore predefinito è SHA 256.

    Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima delle chiavi IKE è 10 minuti, mentre la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti.
    Durata SA IPSec (min) (IPsec SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima delle chiavi IPSec è 3 minuti, mentre la durata massima è 480 minuti. Il valore predefinito è 480 minuti.
    Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Immettere il valore del timeout DPD. Il valore del timeout DPD verrà aggiunto al timer DPD interno, come descritto di seguito. Attendere una risposta dal messaggio DPD prima di considerare il peer inattivo (Dead Peer Detection).
    Prima della versione 5.1.0, il valore predefinito è 20 secondi. Per le versioni 5.1.0 e successive, vedere l'elenco seguente per il valore predefinito.
    • Nome libreria: QuickSec
    • Intervallo probe: esponenziale (0,5 sec, 1 sec, 2 sec, 4 sec, 8 sec, 16 sec)
    • Intervallo DPD minimo predefinito: 47,5 sec (QuickSec attende 16 secondi dopo l'ultimo tentativo. Quindi 0,5+1+2+4+8+16+16 = 47,5).
    • Intervallo DPD minimo predefinito + Timeout DPD (sec): 67,5 sec
    Nota: Prima della versione 5.1.0, è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Tuttavia, per le versioni 5.1.0 e successive, non è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Il valore del timeout DPD in secondi verrà aggiunto al valore minimo predefinito di 47,5 secondi.
    Nota: Quando AWS avvia il tunnel di ridefinizione delle chiavi con un VMware SD-WAN Gateway (in Destinazione non SD-WAN), è possibile che si verifichi un errore e che il tunnel non venga stabilito causando l'interruzione del traffico. Attenersi alle linee guida seguenti:
    • La configurazione del timer Durata SA IPSec (min) (IPsec SA Lifetime(min)) per il SD-WAN Gateway deve essere inferiore a 60 minuti (consigliati 50 minuti) per corrispondere alla configurazione IPSec predefinita di AWS.
    • I gruppi DH e PFS DH devono corrispondere.
  9. Se si desidera creare un gateway VPN secondario per questo sito, selezionare la casella di controllo Gateway VPN secondario (Secondary VPN Gateway) e quindi immettere l'indirizzo IP del gateway VPN secondario nella casella di testo IP pubblico (Public IP).

    Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.

  10. Selezionare la casella di controllo Mantieni attivo il tunnel (Keep Tunnel Active) per mantenere attivo il tunnel VPN secondario per questo sito.
  11. Selezionare la casella di controllo Le impostazioni del tunnel sono uguali a quelle del gateway VPN primario (Tunnel settings are same as Primary VPN Gateway) per applicare le stesse impostazioni del tunnel del gateway VPN primario.
    Tutte le modifiche apportate alle impostazioni del tunnel del gateway VPN primario verranno applicate anche ai tunnel VPN secondari, se sono configurati.
  12. In Subnet del sito (Site Subnets), è possibile aggiungere subnet per il destinazione non SD-WAN facendo clic sul pulsante +.
    Nota: Per supportare il tipo di data center del destinazione non SD-WAN, oltre alla connessione IPSec, sarà necessario configurare le subnet locali del destinazione non SD-WAN nel sistema VMware.
  13. Fare clic su Salva modifiche (Save Changes).

Operazioni successive