Este é um serviço que permite criar configurações de túneis VPN para aceder a um ou mais Destinos Não-SD-WAN. O VMware fornece a configuração necessária para criar os túneis – incluindo a criação da configuração IKE IPsec e a criação de uma chave pré-partilhada.
Visão geral
A figura seguinte mostra uma visão geral dos túneis VPN que podem ser criados entre o VMware e um Destino Não-SD-WAN.
Nota: É necessário que seja especificado um endereço IP para um gateway VPN principal no
Destino Não-SD-WAN. O endereço IP é utilizado para formar um túnel VPN principal entre um
SD-WAN Gateway e o gateway VPN principal.
Opcionalmente, pode ser especificado um endereço IP para um gateway VPN secundário para formar um túnel VPN secundário entre um SD-WAN Gateway e o gateway VPN secundário. É possível especificar túneis VPN redundantes para quaisquer túneis VPN que crie.
Configurar um Destino Não-SD-WAN do tipo gateway VPN do AWS
Depois de criar uma configuração
Destino Não-SD-WAN do tipo
Gateway VPN do AWS (AWS VPN Gateway), será redirecionado para uma página de opções de configuração adicionais:
Pode configurar as seguintes definições de túneis e, em seguida, clicar em
Guardar alterações (Save Changes).
Opção
Descrição
Geral
Nome (Name)
Pode editar o nome anteriormente introduzido para o Destino Não-SD-WAN.
Tipo (Type)
Apresenta o tipo como Gateway VPN do AWS (AWS VPN Gateway). Não é possível editar esta opção.
Ativar Túnel(eis) (Enable Tunnel(s))
Clique no botão de alternar para iniciar os túneis no SD-WAN Gateway para o gateway VPN do AWS.
Modo de túnel (Tunnel Mode)
O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva dinâmica (Hot-Standby)], que se tornará no túnel ativo.
Gateway VPN Principal (Primary VPN Gateway)
IP público (Public IP)
Apresenta o endereço IP do gateway VPN principal.
PSK
A chave pré-partilhada (PSK) é a chave de segurança para autenticação através do túnel. Por predefinição, o SD-WAN Orchestrator gera um PSK. Se quiser criar a sua própria PSK ou palavra-passe, introduza-a na caixa de texto.
Encriptação (Encryption)
Selecione AES-128 ou AES-256 como o tamanho de chave do algoritmo AES para encriptar os dados. O valor predefinido é AES-128.
Grupo DH (DH Group)
Selecione o algoritmo do grupo Diffie-Hellman (DH) na lista pendente. É utilizado para gerar material de codificação. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5 e 14. O valor predefinido é 2.
PFS
Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são desativado (deactivated), 2 e 5. O valor predefinido é 2.
Algoritmo de autenticação (Authentication Algorithm)
O algoritmo de autenticação do cabeçalho VPN. Selecione uma das seguintes funções do Algoritmo Hash Seguro (SHA) suportadas na lista pendente:
SHA1
SHA256
SHA384
SHA512
O valor predefinido é SHA 1.
Tempo de vida IKE SA (min) [IKE SA Lifetime(min)]
Tempo em que a recodificação da Troca de Chaves da Internet (IKE) é iniciada para os SD-WAN Edges. O tempo de vida mínimo do IKE é de 10 minutos e o máximo é de 1440 minutos. O valor predefinido é 1440 minutos.
Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)]
Tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o máximo é de 480 minutos. O valor predefinido é 480 minutos.
Tipo DPD (DPD Type)
O método Deteção de pares mortos (DPD) é utilizado para detetar se o par de troca de chaves da Internet (IKE) está vivo ou morto. Se o par for detetado como morto, o dispositivo eliminará o IPsec e a associação de segurança IKE. Selecione Periodicamente (Periodic) ou A pedido (onDemand) no menu pendente. O valor predefinido é A pedido (onDemand).
Tempo limite DPD (seg) [DPD Timeout(sec)]
O tempo máximo que o dispositivo deve aguardar para receber uma resposta à mensagem DPD antes de considerar o par morto. O valor predefinido é 20 segundos. Pode desativar o DPD ao configurar o temporizador de tempo limite DPD para 0 segundos.
Gateway VPN secundário (Secondary VPN Gateway)
Clique no botão Adicionar (Add) e, em seguida, introduza o endereço IP do gateway VPN secundário. Clique em Guardar alterações (Save Changes).
O gateway VPN secundário será criado imediatamente para este site e aprovisionará um túnel VPN do VMware a este gateway.
Selecione a caixa de verificação para adicionar túneis redundantes a cada gateway VPN. As alterações feitas à Encriptação (Encryption), ao Grupo DH (DH Group) ou ao PFS do gateway VPN principal também serão aplicadas aos túneis VPN redundantes, se configurados.
ID de autenticação local
O ID de autenticação local define o formato e identificação do gateway local. No menu pendente, escolha um dos tipos seguintes e introduza um valor:
FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo: vmware.com
Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, utilizador@vmware.com
IPv4 – O endereço IP utilizado para comunicar com o gateway local.
IPv6 – O endereço IP utilizado para comunicar com o gateway local.
Nota: Se não especificar nenhum valor, será utilizada a opção
Predefinição (Default) como o ID de autenticação local.
IKE/IPsec de exemplo
Clique para ver as informações necessárias para configurar o gateway Destino Não-SD-WAN. O administrador do gateway deve utilizar estas informações para configurar os túneis VPN do gateway.
Localização (Location)
Clique em Editar (Edit) para definir a localização para o Destino Não-SD-WAN configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor Edge ou gateway para se ligar à rede.
Sub-redes do site (Site Subnets)
Utilize o botão de alternar para ativar ou desativar as Sub-redes do site (Site Subnets). Clique em Adicionar (Add) para adicionar sub-redes para Destino Não-SD-WAN. Se não necessitar de sub-redes para o site, selecione a sub-rede e clique em Eliminar (Delete).
Nota:
Para suportar o tipo de centro de dados do Destino Não-SD-WAN, além da ligação IPsec, terá de configurar as sub-redes locais do Destino Não-SD-WAN no sistema VMware.
Se não houver sub-redes do site configuradas, desative Sub-redes do site (Site Subnets) para ativar o túnel.
