Eseguire i passaggi seguenti per configurare un destinazione non SD-WAN di tipo Palo Alto in SD-WAN Orchestrator.
Procedura
- Dopo aver creato una configurazione destinazione non SD-WAN di tipo Palo Alto, si viene reindirizzati a una pagina di opzioni di configurazione aggiuntive:
- È possibile configurare le seguenti impostazioni del tunnel:
Opzione Descrizione Generale Nome (Name) È possibile modificare il nome immesso in precedenza per destinazione non SD-WAN. Tipo Visualizza il tipo come Palo Alto. Non è possibile modificare questa opzione. Abilita tunnel Fare clic sull'interruttore per avviare il tunnel dal gateway SD-WAN al Gateway VPN Palo Alto. Modalità tunnel (Tunnel Mode) Visualizza Attivo/Hot standby (Active/Hot-Standby) per indicare che se il tunnel attivo diventa inattivo, il tunnel di standby (hot standby) subentra e diventa il tunnel attivo. Gateway VPN primario (Primary VPN Gateway) IP pubblico (Public IP) Visualizza l'indirizzo IP del gateway VPN primario. PSK Pre-Shared Key (PSK) è la chiave di sicurezza per l'autenticazione attraverso il tunnel. SD-WAN Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare una chiave PSK o una password personalizzata, immetterla nella casella di testo. Crittografia (Encryption) Selezionare AES-128 o AES-256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. Il valore predefinito è AES-128. Gruppo DH (DH Group) Selezionare l'algoritmo del guppo Diffie-Hellman (DH) nel menu a discesa. Questa opzione viene utilizzata per generare materiale per le chiavi. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5 e 14. Il valore predefinito è 2. È consigliabile utilizzare il gruppo DH 14. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono disattivato (deactivated), 2 e 5. Il valore predefinito è 5. VPN VMware Cloud ridondante Selezionare la casella di controllo per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate a Crittografia (Encryption), Gruppo DH (DH Group) o PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati. Gateway VPN secondario (Secondary VPN Gateway) Fare clic sul pulsante Aggiungi (Add) e quindi immettere l'indirizzo IP del gateway VPN secondario. Fare clic su Salva modifiche (Save Changes). Il gateway VPN secondario per questo sito viene creato immediatamente e viene eseguito il provisioning di un tunnel VPN VMware in questo gateway.
IKE/IPSec di esempio Fare clic per visualizzare le informazioni necessarie per configurare il gateway destinazione non SD-WAN. L'amministratore del gateway deve utilizzare queste informazioni per configurare i tunnel VPN del gateway. Posizione Fare clic su Modifica (Edit) per impostare la posizione per il destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete. Subnet del sito Utilizzare l'interruttore per attivare o disattivare Subnet del sito (Site Subnets). Fare clic su Aggiungi (Add) per aggiungere subnet per la destinazione non SD-WAN. Se non sono necessarie subnet per il sito, selezionare la subnet e fare clic su Elimina (Delete). Nota:- Per supportare il tipo di data center di destinazione non SD-WAN, oltre alla connessione IPSec, è necessario configurare le subnet locali di destinazione non SD-WAN nel sistema VMware.
- Se non sono configurate subnet del sito, disattivare Subnet del sito (Site Subnets) per attivare il tunnel.
Nota:Per il destinazione non SD-WAN Palo Alto, il valore dell'ID di autenticazione locale predefinito utilizzato è l'IP pubblico dell'interfaccia di SD-WAN Gateway.
- Fare clic su Salva modifiche (Save Changes).