Descreve como configurar um Non-VMware SD-WAN Site do tipo Gateway VPN de AWS.

Acerca desta tarefa

Apenas pode configurar os destinos não-SD-WAN através do Gateway ao nível do perfil e não podem sobrepor-se ao nível do SD-WAN Edge.

Procedimento

  1. No painel de navegação do SD-WAN Orchestrator, aceda a Configurar > Serviços de rede (Configure > Network Services).

    É apresentado o ecrã Serviços (Services).

  2. Na área Destinos não-SD-WAN via gateway (Non SD-WAN Destinations via Gateway), clique no botão Novo (New).

    É apresentada a caixa de diálogo Novos destinos não-SD-WAN via gateway (New Non SD-WAN Destinations via Gateway).

  3. Na caixa de texto Nome (Name), introduza o nome para o Destino Não-SD-WAN.
  4. No menu pendente Tipo (Type), selecione Gateway VPN de AWS (AWS VPN Gateway).

  5. Introduza o endereço IP para o gateway VPN principal e clique em Seguinte (Next).

    É criado um Destino Não-SD-WAN do tipo Gateway VPN de AWS (AWS VPN Gateway) e, em seguida, é apresentada uma caixa de diálogo para o Destino Não-SD-WAN.

  6. Para configurar as definições do túnel para o gateway VPN principal do Destino Não-SD-WAN, clique no botão Avançado (Advanced).

  7. Na área Gateway VPN (VPN Gateway) principal, pode configurar as seguintes definições do túnel:
    Campo Descrição
    Modo de túnel (Tunnel Mode) O modo Ativo/Reserva Dinâmica (Active-Hot-Standby) é suportado no SD-WAN Gateway. O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece automaticamente a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva Dinâmica (Hot-Standby)], que se tornará no túnel Ativo.
    PSK A chave pré-partilhada (PSK), que é a chave de segurança para a autenticação através do túnel. Por predefinição, o SD-WAN Orchestrator gera um PSK. Se pretender utilizar a sua própria PSK ou palavra-passe, introduza-a na caixa de texto.
    Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. O valor predefinido é AES 128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5 e 14. Recomenda-se a utilização do grupo DH 14.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2 e 5. O valor predefinido é Desativado (Deactivated).
    Algoritmo de autenticação (Authentication Algorithm) O algoritmo de autenticação do cabeçalho VPN. Selecione uma das seguintes funções do Algoritmo Hash Seguro (SHA) suportadas na lista de menu pendente:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    O valor predefinido é SHA 1.

    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da Troca de Chaves da Internet (IKE) é iniciada para os SD-WAN Edges. O tempo de vida mínimo do IKE é de 10 minutos e o máximo é de 1440 minutos. O valor predefinido é 1440 minutos.
    Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o máximo é de 480 minutos. O valor predefinido é 480 minutos.
    Tipo DPD (DPD Type) O método Deteção de pares mortos (DPD) é utilizado para detetar se o par de troca de chaves da Internet (IKE) está vivo ou morto. Se o par for detetado como morto, o dispositivo eliminará o IPsec e a associação de segurança IKE. Selecione Periodicamente (Periodic) ou A pedido (on Demand) na lista. O valor predefinido é A pedido (on Demand).
    Tempo limite DPD (seg) [DPD Timeout(sec)] Introduza o valor do tempo limite da DPD. O valor do tempo limite da DPD será adicionado ao temporizador DPD interno, conforme descrito abaixo. Aguarde uma resposta da mensagem da DPD antes de considerar o par como morto (Deteção de pares mortos).
    Antes da versão 5.1.0, o valor predefinido é de 20 segundos. Para a versão 5.1.0 e posteriores, veja a lista abaixo para obter o valor predefinido.
    • Nome da biblioteca: Quicksec
    • Intervalo da pesquisa: exponencial (0,5 s, 1 s, 2 s, 4 s, 8 s, 16 s)
    • Intervalo mínimo da DPD predefinido: 47,5 s (o Quicksec aguarda 16 segundos após a última tentativa. Assim, 0,5+1+2+4+8+16+16 = 47,5).
    • Intervalo mínimo da DPD predefinido + tempo limite da DPD (s): 67,5 s
    Nota: Antes da versão 5.1.0, pode desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. No entanto, para a versão 5.1.0 e posteriores, não é possível desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. O valor de tempo excedido da DPD em segundos será adicionado ao valor mínimo predefinido de 47,5 segundos.
  8. Para criar um Gateway VPN secundário para este site, clique no botão Adicionar (Add) ao lado de Gateway VPN secundário (Secondary VPN Gateway). Na janela de pop-up, introduza o endereço IP do gateway VPN secundário e clique em Guardar alterações (Save Changes).

    O gateway VPN secundário será criado imediatamente para este site e aprovisionará um túnel VPN VMware a este Gateway.

  9. Selecione a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) para adicionar túneis redundantes a cada gateway VPN. Quaisquer alterações feitas à encriptação, ao grupo DH ou ao PFS do gateway VPN principal também serão aplicadas aos túneis VPN redundantes, se configurados.
  10. Depois de modificar as definições do túnel do gateway VPN principal, guarde as alterações e clique em Ver modelo IKE/IPsec (View IKE/IPsec Template) para visualizar a configuração do túnel atualizado.

  11. Clique na ligação Atualizar localização (Update location) localizada no canto superior direito da caixa de diálogo Destino Não-SD-WAN via Gateway (Non SD-WAN Destination Via Gateway) para definir a localização para o Non-VMware SD-WAN Site configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor SD-WAN Edge ou SD-WAN Gateway para se ligar à rede.
  12. Na área Sub-redes do site (Site Subnets), pode adicionar sub-redes para o Non-VMware SD-WAN Site ao clicar no botão +. Utilize Sub-redes de origem personalizada (Custom Source Subnets) para anular as sub-redes de origem encaminhadas para este dispositivo VPN. Normalmente, as sub-redes de origem são derivadas das sub-redes LAN SD-WAN Edge encaminhadas para este dispositivo.
    Nota: As sub-redes do site deverão ser desativadas para permitir um túnel se não houver sub-redes do site configuradas.
  13. Selecione a caixa de verificação Ativar túnel(eis) [Enable Tunnel(s)] assim que estiver pronto para iniciar o túnel do SD-WAN Gateway para os Gateways de AWS.
  14. Clique em Guardar alterações (Save Changes).
  15. Atribua o Serviço de rede de sites não-SD-WAN recém-criado a um perfil, acedendo a Configurar > Perfis (Configure > Profiles) no SD-WAN Orchestrator. Consulte Configurar um túnel entre um ramo e um destino não-SD-WAN via gateway.
  16. Regresse à área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway) no SD-WAN Orchestrator ao aceder a Configurar > Serviços de rede (Configure > Network Services).
  17. Na área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway), desloque-se até ao nome do site não-SD-WAN e clique na ligação Editar (Edit) na coluna BGP.
  18. Configure o BGP com base nos valores AWS para os seguintes campos obrigatórios: ASN Local (Local ASN), Tipo de túnel (Tunnel Type), IP vizinho (Neighbor IP) e IP local (Local IP) [na secção Opções avançadas (Advanced Options)]. NOTA: o tipo de túnel é atualizado, por predefinição. Consulte a documentação do AWS, se necessário. Para obter mais informações, consulte Configurar o BGP através de IPsec nos Gateways.
  19. Clique no botão OK para guardar as alterações.
  20. Na área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway), clique na ligação Editar (Edit) na coluna BFD para o Destino Não-SD-WAN, para configurar as definições BFD. Para obter mais informações, consulte Configurar o BFD para Gateways.

O que fazer a seguir

Pode verificar o estado geral dos Sites não-SD-WAN no separador de monitorização. Consulte: