Descreve como configurar um Destino Não-SD-WAN do tipo Router IKEv1 genérico (VPN baseada em caminho) [Generic IKEv1 Router (Route Based VPN)] através do SD-WAN Gateway no SD-WAN Orchestrator.

Nota: Para configurar um Router IKEv1 genérico (VPN baseada em caminho) [Generic IKEv1 Router (Route Based VPN)] via Edge, consulte Configurar um Non-VMware SD-WAN Site do tipo router IKEv1 genérico via Edge.

Procedimento

  1. No painel de navegação do SD-WAN Orchestrator, aceda a Configurar > Serviços de rede (Configure > Network Services).
    É apresentado o ecrã Serviços (Services).
  2. Na área Destinos não-SD-WAN via gateway (Non SD-WAN Destinations via Gateway), clique no botão Novo (New).
    É apresentada a caixa de diálogo Novos destinos não-SD-WAN via gateway (New Non SD-WAN Destinations via Gateway).
  3. Na caixa de texto Nome (Name), introduza o nome para o Destino Não-SD-WAN.
  4. No menu pendente Tipo (Type), selecione Router IKEv1 genérico (VPN baseada em caminho) [Generic IKEv1 Router (Route Based VPN)].
  5. Introduza o endereço IP para o gateway VPN principal (e o gateway VPN secundário, se necessário) e clique em Seguinte (Next).
    É criado um Destino Não-SD-WAN do tipo IKEv1 baseado em caminho e, em seguida, é apresentada uma caixa de diálogo para o Destino Não-SD-WAN.
  6. Para configurar as definições do túnel para o gateway VPN principal do Destino Não-SD-WAN, clique no botão Avançado (Advanced).
  7. Na área Gateway VPN principal (Primary VPN Gateway), pode configurar as seguintes definições do túnel:
    Campo Descrição
    Modo de túnel (Tunnel Mode) O modo Ativo/Reserva Dinâmica (Active-Hot-Standby) é suportado no SD-WAN Gateway. O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece automaticamente a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva Dinâmica (Hot-Standby)], que se tornará no túnel Ativo.
    PSK A chave pré-partilhada (PSK), que é a chave de segurança para a autenticação através do túnel. Por predefinição, o Orchestrator gera um PSK. Se pretender utilizar a sua própria PSK ou palavra-passe, poderá introduzi-la na caixa de texto.
    Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.
    Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. O valor predefinido é AES 128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5 e 14. Recomenda-se a utilização do grupo DH 14.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2 e 5. O valor predefinido é 2.
  8. Se pretender criar um gateway VPN secundário para este site, clique no botão Adicionar (Add) ao lado de Gateway VPN secundário (Secondary VPN Gateway). Na janela de pop-up, introduza o endereço IP do gateway VPN secundário e clique em Guardar alterações (Save Changes).

    O gateway VPN secundário será criado imediatamente para este local e irá providenciar um túnel VPN do VMware a este gateway.

  9. Selecione a caixa de verificação VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) para adicionar túneis redundantes a cada gateway VPN.
    Quaisquer alterações feitas à encriptação, ao grupo DH ou ao PFS do gateway VPN principal também serão aplicadas aos túneis VPN redundantes, se configurados. Depois de modificar as definições do túnel do gateway VPN principal, guarde as alterações e clique em Ver modelo IKE/IPsec (View IKE/IPsec Template) para visualizar a configuração do túnel atualizado.
  10. Clique na ligação Atualizar localização (Update location) para definir a localização para o Destino Não-SD-WAN configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor Edge ou gateway para se ligar à rede.
  11. O ID de autenticação local define o formato e identificação do gateway local. No menu ID de autenticação local (Local Auth Id), escolha entre os seguintes tipos e introduza um valor que determine:
    • FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo, google.com.
    • Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, utilizador@google.com.
    • IPv4 – O endereço IP utilizado para comunicar com o gateway local.
    Nota:

    Para a VPN baseada em caminhos genéricos, se o utilizador não especificar um valor, será utilizada a opção Predefinição (Default) como o ID de autenticação local. O valor do ID de autenticação local predefinido será o IP público da interface do SD-WAN Gateway.

  12. Em Sub-redes do site (Site Subnets), pode adicionar sub-redes para o Destino Não-SD-WAN clicando no botão +. Se não necessitar de sub-redes para o site, selecione a caixa de verificação Desativar sub-redes do site (Deactivate Site Subnets).
  13. Selecione a caixa de verificação Ativar túnel(eis) [Enable Tunnel(s)] quando estiver pronto para iniciar o túnel do SD-WAN Gateway para os gateways VPN do IKEv1 genérico.
  14. Clique em Guardar alterações (Save Changes).
  15. Atribua o Serviço de rede de sites não-SD-WAN recém-criado a um perfil, acedendo a Configurar > Perfis (Configure > Profiles) no SD-WAN Orchestrator. Consulte Configurar um túnel entre um ramo e um destino não-SD-WAN via gateway.
  16. Regresse à área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway) no SD-WAN Orchestrator ao aceder a Configurar > Serviços de rede (Configure > Network Services).
  17. Na área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway), desloque-se até ao nome do site não-SD-WAN e clique na ligação Editar (Edit) na coluna BGP.
  18. Configure o BGP para os seguintes campos obrigatórios: ASN Local (Local ASN), Tipo de túnel (Tunnel Type), IP de vizinho (Neighbor IP) e IP local (Local IP) [na secção Opções avançadas (Advanced Options)]. Para obter mais informações, consulte Configurar o BGP através de IPsec nos Gateways.
    Nota: O VTI IP (IP privado) atribuído pelo SD-WAN Orchestrator pode ser utilizado para envio de par em Single-Hop BGP.
  19. Clique em OK para guardar as alterações.
  20. Na área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway), clique na ligação Editar (Edit) na coluna BFD para o Destino Não-SD-WAN, para configurar as definições BFD. Para obter mais informações, consulte Configurar o BFD para Gateways.

Como proceder a seguir

Pode verificar o estado geral dos Sites não-SD-WAN no separador de monitorização. Consulte: