Eseguire i passaggi seguenti per configurare un destinazione non SD-WAN di tipo Palo Alto in SASE Orchestrator.

Procedura

  1. Dopo aver creato una configurazione destinazione non SD-WAN di tipo Palo Alto, si viene reindirizzati a una pagina di opzioni di configurazione aggiuntive:
  2. È possibile configurare le seguenti impostazioni del tunnel:
    Opzione Descrizione
    Generale
    Nome (Name) È possibile modificare il nome immesso in precedenza per destinazione non SD-WAN.
    Tipo Visualizza il tipo come Palo Alto. Non è possibile modificare questa opzione.
    Abilita tunnel (Enable Tunnel(s)) Fare clic sull'interruttore per avviare il tunnel dal gateway SD-WAN al Gateway VPN Palo Alto.
    Modalità tunnel (Tunnel Mode) La modalità attivo/hot standby supporta la configurazione di un massimo di 2 endpoint o gateway del tunnel.
    La modalità Attiva/Attiva supporta la configurazione di un massimo di 4 endpoint o gateway del tunnel. Tutti i tunnel attivi possono inviare e ricevere traffico tramite ECMP.
    Metodo di condivisione del caricoECMP Basato sul carico dei flussi (predefinito) L'algoritmo basato sul carico dei flussi mappa il nuovo flusso sul percorso con il minor numero di flussi mappati tra i percorsi disponibili per la destinazione.
    L'algoritmo basato su carico hash accetta i parametri di input da 5 tuple (SrcIP, DestIP, SrcPort, DestPort, Protocol). Questi input possono essere uno o tutti o un sottoinsieme di questa tupla in base alla configurazione dell'utente. Il flusso viene mappato al percorso in base al valore hash con gli input selezionati.
    Gateway VPN 1 Immettere un indirizzo IP valido.
    Gateway VPN 2 Immettere un indirizzo IP valido. Questo campo è facoltativo.
    Gateway VPN 3 Immettere un indirizzo IP valido. Questo campo è facoltativo.
    Gateway VPN 4 Immettere un indirizzo IP valido. Questo campo è facoltativo.
    Gateway VPN primario (Primary VPN Gateway)
    IP pubblico (Public IP) Visualizza l'indirizzo IP del gateway VPN primario.
    PSK Pre-Shared Key (PSK) è la chiave di sicurezza per l'autenticazione attraverso il tunnel. Per impostazione predefinita, SASE Orchestrator genera una PSK. Se si desidera utilizzare una chiave PSK o una password personalizzata, immetterla nella casella di testo.
    Crittografia (Encryption) Selezionare AES-128 o AES-256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. Il valore predefinito è AES-128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del guppo Diffie-Hellman (DH) nel menu a discesa. Questa opzione viene utilizzata per generare materiale per le chiavi. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5 e 14. Il valore predefinito è 2. È consigliabile utilizzare il gruppo DH 14.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono disattivato (deactivated), 2 e 5. Il valore predefinito è 5.
    VPN VMware Cloud ridondante Selezionare la casella di controllo per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate a Crittografia (Encryption), Gruppo DH (DH Group) o PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati.
    Gateway VPN secondario (Secondary VPN Gateway) Fare clic sul pulsante Aggiungi (Add) e quindi immettere l'indirizzo IP del gateway VPN secondario. Fare clic su Salva modifiche (Save Changes).

    Il gateway VPN secondario per questo sito viene creato immediatamente e viene eseguito il provisioning di un tunnel VPN VMware in questo gateway.
    IKE/IPSec di esempio (Sample IKE / IPsec) Fare clic per visualizzare le informazioni necessarie per configurare il gateway destinazione non SD-WAN. L'amministratore del gateway deve utilizzare queste informazioni per configurare i tunnel VPN del gateway.
    Posizione (Location) Fare clic su Modifica (Edit) per impostare la posizione per il destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
    Subnet del sito (Site Subnets) Utilizzare l'interruttore per attivare o disattivare Subnet del sito (Site Subnets). Fare clic su Aggiungi (Add) per aggiungere subnet per la destinazione non SD-WAN. Se non sono necessarie subnet per il sito, selezionare la subnet e fare clic su Elimina (Delete).
    Nota:
    • Per supportare il tipo di data center di destinazione non SD-WAN, oltre alla connessione IPSec, è necessario configurare le subnet locali di destinazione non SD-WAN nel sistema VMware.
    • Se non sono configurate subnet del sito, disattivare Subnet del sito (Site Subnets) per attivare il tunnel.
    Nota:

    Per il destinazione non SD-WAN Palo Alto, il valore dell'ID di autenticazione locale predefinito utilizzato è l'IP pubblico dell'interfaccia di SD-WAN Gateway.

  3. Fare clic su Salva modifiche (Save Changes).