Siga os passos abaixo para configurar um Destino Não-SD-WAN do tipo Firewall genérica (VPN baseada em política) no SD-WAN Orchestrator.

Procedimento

  1. Depois de criar uma configuração Destino Não-SD-WAN do tipo Firewall genérica (VPN baseada em política), será redirecionado para uma página de opções de configuração adicionais:
    Nota: O Gateway VPN secundário (Secondary VPN Gateway) não é suportado para o tipo de serviço Firewall genérica (VPN baseada em política).
  2. Pode configurar as seguintes definições de túnel:
    Opção Descrição
    Geral (General)
    Nome (Name) Pode editar o nome anteriormente introduzido para o Destino Não-SD-WAN.
    Tipo (Type) Apresenta o tipo como Firewall genérica (VPN baseada em política). Não é possível editar esta opção.
    Ativar Túnel(eis) (Enable Tunnel(s)) Clique no botão de alternar para iniciar os túneis no SD-WAN Gateway para o gateway VPN da firewall genérica.
    Modo de túnel (Tunnel Mode) O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva dinâmica (Hot-Standby)], que se tornará no túnel ativo.
    Gateway VPN Principal (Primary VPN Gateway)
    IP público (Public IP) Apresenta o endereço IP do gateway VPN principal.
    PSK A chave pré-partilhada (PSK) é a chave de segurança para autenticação através do túnel. Por predefinição, o SD-WAN Orchestrator gera um PSK. Se quiser criar a sua própria PSK ou palavra-passe, introduza-a na caixa de texto.
    Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.
    Encriptação (Encryption) Selecione AES-128 ou AES-256 como o tamanho de chave do algoritmo AES para encriptar os dados. O valor predefinido é AES-128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) na lista pendente. É utilizado para gerar material de codificação. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5 e 14. O valor predefinido é 2.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são desativado (deactivated), 2 e 5. O valor predefinido é Desativado (Deactivated).
    ID de autenticação local (Local Auth Id) O ID de autenticação local define o formato e identificação do gateway local. No menu pendente, escolha um dos tipos seguintes e introduza um valor:
    • FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo: vmware.com
    • Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, [email protected]
    • IPv4 – O endereço IP utilizado para comunicar com o gateway local.
    • IPv6 – O endereço IP utilizado para comunicar com o gateway local.
    Nota:
    • Se não especificar nenhum valor, será utilizada a opção Predefinição (Default) como o ID de autenticação local.
    • O valor do ID de autenticação local predefinido será o IP local da interface do SD-WAN Gateway.
    IKE/IPsec de exemplo (Sample IKE / IPsec) Clique para ver as informações necessárias para configurar o gateway Destino Não-SD-WAN. O administrador do gateway deve utilizar estas informações para configurar os túneis VPN do gateway.
    Nota: Atualmente, a versão IKE suportada é IKEv1.
    Localização (Location) Clique em Editar (Edit) para definir a localização para o Destino Não-SD-WAN configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor Edge ou gateway para se ligar à rede.
    Sub-redes do site (Site Subnets) Utilize o botão de alternar para ativar ou desativar as Sub-redes do site (Site Subnets). Clique em Adicionar (Add) para adicionar sub-redes para Destino Não-SD-WAN. Se não necessitar de sub-redes para o site, selecione a sub-rede e clique em Eliminar (Delete).
    Nota:
    • Para suportar o tipo de centro de dados do Destino Não-SD-WAN, além da ligação IPsec, terá de configurar as sub-redes locais do Destino Não-SD-WAN no sistema VMware.
    • Se não houver sub-redes do site configuradas, desative Sub-redes do site (Site Subnets) para ativar o túnel.
    Sub-redes do site personalizadas (Custom Site Subnets) Utilize esta secção para sobrepor as sub-redes de origem encaminhadas para este dispositivo VPN. Normalmente, as sub-redes de origem são derivadas das sub-redes LAN do Edge encaminhadas para este dispositivo.
  3. Clique em Guardar alterações (Save Changes).