Este é um serviço que permite criar configurações de túneis VPN para aceder a um ou mais Destinos Não-SD-WAN. O VMware fornece a configuração necessária para criar os túneis – incluindo a criação da configuração IKE IPsec e a criação de uma chave pré-partilhada.

Visão geral

A figura seguinte mostra uma visão geral dos túneis VPN que podem ser criados entre o VMware e um Destino Não-SD-WAN.

Nota: É necessário que seja especificado um endereço IP para um gateway VPN principal no Destino Não-SD-WAN. O endereço IP é utilizado para formar um túnel VPN principal entre um SD-WAN Gateway e o gateway VPN principal.

Opcionalmente, pode ser especificado um endereço IP para um gateway VPN secundário para formar um túnel VPN secundário entre um SD-WAN Gateway e o gateway VPN secundário. É possível especificar túneis VPN redundantes para quaisquer túneis VPN que crie.

Configurar um Destino Não-SD-WAN do tipo gateway VPN do AWS

Depois de criar uma configuração Destino Não-SD-WAN do tipo Gateway VPN do AWS (AWS VPN Gateway), será redirecionado para uma página de opções de configuração adicionais:
Pode configurar as seguintes definições de túneis e, em seguida, clicar em Guardar alterações (Save Changes).
Opção Descrição
Geral
Nome (Name) Pode editar o nome anteriormente introduzido para o Destino Não-SD-WAN.
Tipo (Type) Apresenta o tipo como Gateway VPN do AWS (AWS VPN Gateway). Não é possível editar esta opção.
Ativar Túnel(eis) (Enable Tunnel(s)) Clique no botão de alternar para iniciar os túneis no SD-WAN Gateway para o gateway VPN do AWS.
Modo de túnel (Tunnel Mode) O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva dinâmica (Hot-Standby)], que se tornará no túnel ativo.
Gateway VPN Principal (Primary VPN Gateway)
IP público (Public IP) Apresenta o endereço IP do gateway VPN principal.
PSK A chave pré-partilhada (PSK) é a chave de segurança para autenticação através do túnel. Por predefinição, o SD-WAN Orchestrator gera um PSK. Se quiser criar a sua própria PSK ou palavra-passe, introduza-a na caixa de texto.
Encriptação (Encryption) Selecione AES-128 ou AES-256 como o tamanho de chave do algoritmo AES para encriptar os dados. O valor predefinido é AES-128.
Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) na lista pendente. É utilizado para gerar material de codificação. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5 e 14. O valor predefinido é 2.
PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são desativado (deactivated), 2 e 5. O valor predefinido é 2.
Algoritmo de autenticação (Authentication Algorithm)

O algoritmo de autenticação do cabeçalho VPN. Selecione uma das seguintes funções do Algoritmo Hash Seguro (SHA) suportadas na lista pendente:

  • SHA1
  • SHA256
  • SHA384
  • SHA512

O valor predefinido é SHA 1.

Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da Troca de Chaves da Internet (IKE) é iniciada para os SD-WAN Edges. O tempo de vida mínimo do IKE é de 10 minutos e o máximo é de 1440 minutos. O valor predefinido é 1440 minutos.
Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o máximo é de 480 minutos. O valor predefinido é 480 minutos.
Tipo DPD (DPD Type) O método Deteção de pares mortos (DPD) é utilizado para detetar se o par de troca de chaves da Internet (IKE) está vivo ou morto. Se o par for detetado como morto, o dispositivo eliminará o IPsec e a associação de segurança IKE. Selecione Periodicamente (Periodic) ou A pedido (onDemand) no menu pendente. O valor predefinido é A pedido (onDemand).
Tempo limite DPD (seg) [DPD Timeout(sec)] Introduza o valor do tempo limite da DPD. O valor do tempo limite da DPD será adicionado ao temporizador DPD interno, conforme descrito abaixo. Aguarde uma resposta da mensagem da DPD antes de considerar o par como morto (Deteção de pares mortos).
Antes da versão 5.1.0, o valor predefinido é de 20 segundos. Para a versão 5.1.0 e posteriores, veja a lista abaixo para obter o valor predefinido.
  • Nome da biblioteca: Quicksec
  • Intervalo da pesquisa: exponencial (0,5 s, 1 s, 2 s, 4 s, 8 s, 16 s)
  • Intervalo mínimo da DPD predefinido: 47,5 s (o Quicksec aguarda 16 segundos após a última tentativa. Assim, 0,5+1+2+4+8+16+16 = 47,5).
  • Intervalo mínimo da DPD predefinido + tempo limite da DPD (s): 67,5 s
Nota: Antes da versão 5.1.0, pode desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. No entanto, para a versão 5.1.0 e posteriores, não é possível desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. O valor de tempo excedido da DPD em segundos será adicionado ao valor mínimo predefinido de 47,5 segundos.
Gateway VPN secundário (Secondary VPN Gateway) Clique no botão Adicionar (Add) e, em seguida, introduza o endereço IP do gateway VPN secundário. Clique em Guardar alterações (Save Changes).

O gateway VPN secundário será criado imediatamente para este site e aprovisionará um túnel VPN do VMware a este gateway.

VPN VMware Cloud redundante (Redundant VMware Cloud VPN) Selecione a caixa de verificação para adicionar túneis redundantes a cada gateway VPN. As alterações feitas à Encriptação (Encryption), ao Grupo DH (DH Group) ou ao PFS do gateway VPN principal também serão aplicadas aos túneis VPN redundantes, se configurados.
ID de autenticação local O ID de autenticação local define o formato e identificação do gateway local. No menu pendente, escolha um dos tipos seguintes e introduza um valor:
  • FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo: vmware.com
  • Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, [email protected]
  • IPv4 – O endereço IP utilizado para comunicar com o gateway local.
  • IPv6 – O endereço IP utilizado para comunicar com o gateway local.
Nota: Se não especificar nenhum valor, será utilizada a opção Predefinição (Default) como o ID de autenticação local.
IKE/IPsec de exemplo Clique para ver as informações necessárias para configurar o gateway Destino Não-SD-WAN. O administrador do gateway deve utilizar estas informações para configurar os túneis VPN do gateway.
Localização (Location) Clique em Editar (Edit) para definir a localização para o Destino Não-SD-WAN configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor Edge ou gateway para se ligar à rede.
Sub-redes do site (Site Subnets) Utilize o botão de alternar para ativar ou desativar as Sub-redes do site (Site Subnets). Clique em Adicionar (Add) para adicionar sub-redes para Destino Não-SD-WAN. Se não necessitar de sub-redes para o site, selecione a sub-rede e clique em Eliminar (Delete).
Nota:
  • Para suportar o tipo de centro de dados do Destino Não-SD-WAN, além da ligação IPsec, terá de configurar as sub-redes locais do Destino Não-SD-WAN no sistema VMware.
  • Se não houver sub-redes do site configuradas, desative Sub-redes do site (Site Subnets) para ativar o túnel.