VMware consente agli utenti aziendali di definire e configurare un'istanza di un destinazione non SD-WAN per stabilire un tunnel IPSec sicuro direttamente da un SD-WAN Edge a un destinazione non SD-WAN. Questa sezione consente inoltre di configurare i servizi di sicurezza cloud.
Procedura
- Nel portale dell'azienda, passare a Configura (Configure) > Servizi di rete (Network Services) e quindi in Destinazioni non SD-WAN (Non SD-WAN Destinations) espandere Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge).
- Nell'area Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge) fare clic sull'opzione Nuovo (New) o Nuovo NSD tramite Edge (New NSD via Edge) per creare una nuova destinazione non SD-WAN.
Nota: L'opzione Nuovo NSD tramite Edge (New NSD via Edge) viene visualizzata solo quando nella tabella non sono presenti elementi.
- Sono disponibili le opzioni di configurazione seguenti:
Opzione Descrizione Generale (General) Nome servizio (Service Name) Immettere un nome per il destinazione non SD-WAN. Questo campo è obbligatorio. Tipo di servizio (Service Type) Selezionare il tipo di servizio nel menu a discesa. Le opzioni disponibili sono Router IKEv1 generico (VPN basata su route) [Generic IKEv1 Router (Route Based VPN)], Router IKEv2 generico (VPN basata su route) [Generic IKEv2 Router (Route Based VPN)] e WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan). Questo campo è obbligatorio. Modalità tunnel Selezionare una modalità del tunnel dal menu a discesa. Le opzioni disponibili sono Attivo/Attivo (Active/Active), Attivo/Hot standby (Active/Hot-Standby) e Attivo/Standby (Active/Standby). Impostazioni IKE/IPSec (IKE/IPSec Settings) Versione IP Viene visualizzata la versione IP del destinazione non SD-WAN corrente. Gateway VPN primario (Primary VPN Gateway) IP pubblico (Public IP) Immettere un indirizzo IPv4 o IPv6 valido. Questo campo è obbligatorio. Visualizzare le impostazioni avanzate per la proposta IKE: espandere questa opzione per visualizzare i campi seguenti. Crittografia (Encryption) Nell'elenco a discesa, selezionare le dimensioni della chiave dell'algoritmo AES per crittografare i dati. Le opzioni disponibili sono AES 128, AES 256, AES 128 GCM, AES 256 GCM e Automatico (Auto). Il valore predefinito è AES 128. Gruppo DH (DH Group) Selezionare l'algoritmo del guppo Diffie-Hellman (DH) nell'elenco a discesa. Questa opzione viene utilizzata per generare materiale per le chiavi. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15, 16, 19, 20 e 21. Il valore predefinito è 14. Hash Nell'elenco a discesa selezionare una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: - SHA 1
- SHA 256
- SHA 384
Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
- Automatico (Auto)
Il valore predefinito è SHA 256.
Durata SA IKE (min) (IKE SA Lifetime(min)) Immettere l'ora in cui viene avviata la ridefinizione delle chiavi IKE (Internet Key Exchange) per gli Edge. La durata minima delle chiavi IKE è 10 minuti, mentre la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti. Nota: La ridefinizione delle chiavi deve essere avviata prima che sia trascorso il 75-80% della durata.Timeout DPD (sec) (DPD Timeout(sec)) Immettere il valore del timeout DPD. Il valore del timeout DPD verrà aggiunto al timer DPD interno, come descritto di seguito. Attendere una risposta dal messaggio DPD prima di considerare il peer inattivo (Dead Peer Detection). Prima della versione 5.1.0, il valore predefinito è 20 secondi. Per le versioni 5.1.0 e successive, vedere l'elenco seguente per il valore predefinito.- Nome libreria: QuickSec
- Intervallo probe: esponenziale (0,5 sec, 1 sec, 2 sec, 4 sec, 8 sec, 16 sec)
- Intervallo DPD minimo predefinito: 47,5 sec (QuickSec attende 16 secondi dopo l'ultimo tentativo. Quindi 0,5+1+2+4+8+16+16 = 47,5).
- Intervallo DPD minimo predefinito + Timeout DPD (sec): 67,5 sec
Nota: Prima della versione 5.1.0, è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Tuttavia, per le versioni 5.1.0 e successive, non è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Il valore del timeout DPD in secondi verrà aggiunto al valore minimo predefinito di 47,5 secondi.Visualizzare le impostazioni avanzate per la proposta IPSec: espandere questa opzione per visualizzare i campi seguenti. Crittografia (Encryption) Nell'elenco a discesa, selezionare le dimensioni della chiave dell'algoritmo AES per crittografare i dati. Le opzioni disponibili sono Nessuna (None), AES 128 e AES 256. Il valore predefinito è AES 128. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15, 16, 19, 20 e 21. Il valore predefinito è 14. Hash Nell'elenco a discesa selezionare una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: - SHA 1
- SHA 256
- SHA 384
Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
Il valore predefinito è SHA 256.
Durata SA IPSec (min) (IPsec SA Lifetime(min)) Immettere l'ora in cui viene avviata la ridefinizione delle chiavi IPSec (Internet Security Protocol) per gli Edge. La durata minima delle chiavi IPSec è 3 minuti, mentre la durata massima è 480 minuti. Il valore predefinito è 480 minuti. Nota: La ridefinizione delle chiavi deve essere avviata prima che sia trascorso il 75-80% della durata.Gateway VPN secondario (Secondary VPN Gateway) Aggiungi (Add): fare clic su questa opzione per aggiungere un gateway VPN secondario. Vengono visualizzati i campi seguenti. IP pubblico (Public IP) Immettere un indirizzo IPv4 o IPv6 valido. Rimuovi Elimina il gateway VPN secondario. Le impostazioni del tunnel sono uguali a quelle del gateway VPN primario Selezionare questa casella di controllo se si desidera utilizzare le stesse impostazioni per i gateway primario e secondario. È possibile scegliere di immettere manualmente le impostazioni per il gateway VPN secondario. Subnet del sito (Site Subnets) Aggiungi Fare clic su questa opzione per aggiungere una subnet e una descrizione per la destinazione non SD-WAN. Elimina Fare clic su questa opzione per eliminare la subnet selezionata. - Fare clic su Salva (Save).
- Nell'area Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge) fare clic sull'opzione Nuovo (New) o Nuovo NSD tramite Edge (New NSD via Edge) per creare una nuova destinazione non SD-WAN.
- Nell'area Servizi di sicurezza cloud (Cloud Security Services), fare clic su Nuovo (New).
- Nella finestra Nuovo servizio di sicurezza cloud (New Cloud Security Service), selezionare un tipo di servizio nel menu a discesa. VMware SD-WAN supporta i tipi di CSS seguenti:
- Servizio di sicurezza cloud generico
- Servizio di sicurezza cloud Symantec / Palo Alto
- Servizio di sicurezza cloud Zscaler
- Se si seleziona il servizio di sicurezza cloud "Generico (Generic)" o "Symantec/Palo Alto" come Tipo di servizio (Service Type), configurare i campi seguenti e quindi fare clic su Salva modifiche (Save Changes).
Opzione Descrizione Nome servizio (Service Name) Immettere un nome descrittivo per il servizio di sicurezza cloud. Punto di presenza primario/Server primario (Primary Point-of-Presence/Server) Immettere l'indirizzo IP o il nome host del server primario. Punto di presenza secondario/Server secondario (Secondary Point-of-Presence/Server) Immettere l'indirizzo IP o il nome host del server secondario. Questo campo è facoltativo. - Se si seleziona Servizio di sicurezza cloud Zscaler (Zscaler Cloud Security Service) come Tipo di servizio (Service Type), configurare i campi seguenti e quindi fare clic su Salva modifiche (Save Changes).
Opzione Descrizione Nome servizio (Service Name) Immettere un nome descrittivo per il servizio di sicurezza cloud. Automatizza distribuzione servizio cloud Selezionare la casella di controllo per scegliere l'automazione della distribuzione. URL per l'accesso a Zscaler È possibile scegliere di utilizzare l'URL di Zscaler esistente nell'elenco a discesa o immettere un nuovo URL. Server primario Immettere l'indirizzo IP o il nome host del server primario. Server secondario Immettere l'indirizzo IP o il nome host del server secondario. Questo campo è facoltativo. Controllo integrità L7 (L7 Health Check) Selezionare la casella di controllo per monitorare l'integrità del server Zscaler. Nota: Per un determinato Edge/profilo, un utente non può sostituire i parametri del controllo dell'integrità L7 configurati nei servizi di rete.Intervallo probe HTTP (HTTP Probe Interval) Viene visualizzata la durata dell'intervallo tra un probe HTTP e l'altro. L'intervallo di probe predefinito è 5 secondi. Numero di tentativi (Number of Retries) Specifica il numero di tentativi consentiti prima di contrassegnare il servizio cloud come INATTIVO. Il valore predefinito è 3. Soglia RTT (RTT Threshold) La soglia RTT (Round Trip Time), espressa in millisecondi, viene utilizzata per calcolare lo stato del servizio cloud. Il servizio cloud viene contrassegnato come INATTIVO se l'RTT misurato è superiore alla soglia configurata. Il valore predefinito è 3000 millisecondi. URL di accesso a Zscaler Immettere l'URL di accesso e fare clic su Accedi a Zscaler (Login in Zscaler). Si verrà reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato. Nota: Il link Accedi a Zscaler (Login to Zscaler) viene attivato solo se si immette l'URL di accesso a Zscaler.
- Di seguito sono elencate le altre opzioni disponibili nella sezione Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge):
Opzione Descrizione Elimina Selezionare un elemento e fare clic su questa opzione per eliminarlo. Colonne Fare clic e selezionare le colonne da visualizzare o nascondere nella pagina. Nota: Fare clic sull'icona delle informazioni nella parte superiore della tabella per visualizzare il diagramma concettuale e quindi passare il puntatore sul diagramma per visualizzare ulteriori dettagli.