Descreve como configurar um Destino Não-SD-WAN do tipo Router IKEv1 genérico (VPN baseada em caminho) [Generic IKEv1 Router (Route Based VPN)] através do SD-WAN Edge no SD-WAN Orchestrator.

Procedimento

  1. No painel de navegação do SD-WAN Orchestrator, aceda a Configurar > Serviços de rede (Configure > Network Services).
    É apresentado o ecrã Serviços (Services).
  2. Na área Destinos não-SD-WAN via Edge (Non SD-WAN Destinations via Edge), clique no botão Novo (New).
    É apresentada a caixa de diálogo Destinos não-SD-WAN via Edge (Non SD-WAN Destinations via Edge).
  3. Na caixa de texto Nome do serviço (Service Name), introduza um nome para o Destino Não-SD-WAN.
  4. No menu pendente Tipo de serviço (Service Type), selecione Router IKEv1 genérico (VPN baseada em rota) [Generic IKEv1 Router (Route Based VPN)] como o tipo de túnel IPSec.
  5. Clique em Seguinte (Next).
    É criado um Destino Não-SD-WAN do tipo IKEv1 baseado em caminho e, em seguida, é apresentada uma caixa de diálogo para o Destino Não-SD-WAN.
  6. Em Gateway VPN principal (Primary VPN Gateway), na caixa de texto IP público (Public IP), introduza o endereço IP do gateway VPN principal.
  7. Para configurar as definições do túnel para o gateway VPN principal do Destino Não-SD-WAN, clique no botão Avançado (Advanced).
  8. Na área Gateway VPN principal (Primary VPN Gateway), pode configurar as seguintes definições do túnel:
    Campo Descrição
    Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. Se não pretender encriptar os dados, selecione Nulo (Null). O valor predefinido é AES 128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15 e 16. Recomenda-se a utilização do grupo DH 14.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. O valor predefinido é Desativado (Deactivated).
    Hash O algoritmo de autenticação do cabeçalho VPN. Selecione uma das seguintes funções do algoritmo hash seguro (SHA) suportadas na lista:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    O valor predefinido é SHA 256.
    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o máximo é de 1440 minutos. O valor predefinido é 1440 minutos.
    Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o máximo é de 480 minutos. O valor predefinido é 480 minutos.
    Temporizador de tempo limite DPD (seg) [DPD Timeout Timer(sec)] Introduza o valor do tempo limite da DPD. O valor do tempo limite da DPD será adicionado ao temporizador DPD interno, conforme descrito abaixo. Aguarde uma resposta da mensagem da DPD antes de considerar o par como morto (Deteção de pares mortos).
    Antes da versão 5.1.0, o valor predefinido é de 20 segundos. Para a versão 5.1.0 e posteriores, veja a lista abaixo para obter o valor predefinido.
    • Nome da biblioteca: Quicksec
    • Intervalo da pesquisa: exponencial (0,5 s, 1 s, 2 s, 4 s, 8 s, 16 s)
    • Intervalo mínimo da DPD predefinido: 47,5 s (o Quicksec aguarda 16 segundos após a última tentativa. Assim, 0,5+1+2+4+8+16+16 = 47,5).
    • Intervalo mínimo da DPD predefinido + tempo limite da DPD (s): 67,5 s
    Nota: Antes da versão 5.1.0, pode desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. No entanto, para a versão 5.1.0 e posteriores, não é possível desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. O valor de tempo excedido da DPD em segundos será adicionado ao valor mínimo predefinido de 47,5 segundos.
    Nota: Quando o AWS inicia o túnel de recodificação com um VMware SD-WAN Gateway (em destinos não SD-WAN), pode ocorrer uma falha e não será estabelecido um túnel, o que pode causar interrupção de tráfego. Cumpra o seguinte:
    • As configurações do temporizador Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] para o SD-WAN Gateway devem ser inferiores a 60 minutos (50 minutos recomendados) para corresponder à configuração IPsec predefinida do AWS.
    • Os grupos DH e PFS DH devem corresponder.
  9. Se pretender criar um gateway VPN secundário para este site, selecione a caixa de verificação Gateway VPN secundário (Secondary VPN Gateway) e, em seguida, introduza o endereço IP do gateway VPN secundário na caixa de texto IP público (Public IP).

    O gateway VPN secundário será criado imediatamente para este local e irá providenciar um túnel VPN do VMware a este gateway.

  10. Selecione a caixa de verificação Manter o túnel ativo (Keep Tunnel Active) para manter o túnel VPN secundário ativo para este local.
  11. Selecione a caixa de verificação As definições do túnel são iguais às do gateway VPN principal (Tunnel settings are same as Primary VPN Gateway) para aplicar as mesmas definições de túnel que as do gateway VPN principal.
    Quaisquer alterações às definições do túnel feitas no gateway VPN principal também serão aplicadas aos túneis VPN secundários, se configurados.
  12. Em Sub-redes do site (Site Subnets), pode adicionar sub-redes para o Destino Não-SD-WAN clicando no botão +.
    Nota: Para suportar o tipo de centro de dados do Destino Não-SD-WAN, além da ligação IPSec, terá de configurar as sub-redes locais do Destino Não-SD-WAN no sistema VMware.
  13. Clique em Guardar alterações (Save Changes).

Como proceder a seguir