O VMware permite que os utilizadores empresariais definam e configurem uma instância do Destino Não-SD-WAN para estabelecer túneis IPsec v4 e v6 seguros diretamente de um SD-WAN Edge para um Destino Não-SD-WAN. Esta secção também permite configurar os Serviços de Segurança na cloud.

Procedimento

  1. No serviço SD-WAN do portal da empresa, aceda a Configurar (Configure) > Serviços de rede (Network Services) e, em seguida, em Destinos Não-SD-WAN (Non SD-WAN Destinations), expanda Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge).
    1. Na área Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge), clique na opção Novo (New) ou Novo NSD via Edge (New NSD via Edge) para criar um novo destino não-SD-WAN.
      Nota: A opção Novo NSD via Edge (New NSD via Edge) só aparece quando não existem itens na tabela.
    2. Estão disponíveis as seguintes opções de configuração:
      Nota: Para suportar o tipo de centro de dados do Destino Não-SD-WAN, além das definições IKE/IPsec, terá de configurar as sub-redes locais do Destino Não-SD-WAN no sistema VMware.
      Opção Descrição
      Geral (General)
      Nome do serviço (Service Name) Introduza um nome para Destino Não-SD-WAN. Este campo é obrigatório.
      Tipo de serviço (Service Type) Selecione o tipo de serviço no menu pendente. As opções disponíveis são Router IKEv1 Genérico (VPN baseada em caminho) (Generic IKEv1 Router (Route Based VPN)), Router IKEv2 Genérico (VPN baseada em caminho) (Generic IKEv2 Router (Route Based VPN)) e WAN virtual Microsoft Azure (Microsoft Azure Virtual WAN). Este campo é obrigatório.
      Modo de túnel (Tunnel mode) Selecione um modo de túnel no menu pendente. As opções disponíveis são Ativo/Ativo (Active/Active), Ativo/Reserva Dinâmica (Active/Hot-Standby) e Ativo/Standby (Active/Standby).
      Definições IKE/IPsec (IKE/IPSec Setting)
      Versão IP (IP Version) Selecione uma versão de IP (IPv4 ou IPv6) do Destino Não-SD-WAN atual no menu pendente.
      Gateway VPN Principal (Primary VPN Gateway)
      IP público (Public IP) Introduza um endereço IPv4 ou IPv6 válido. Este campo é obrigatório.
      Ver definições avançadas para proposta IKE (View advanced settings for IKE Proposal): expanda esta opção para ver os seguintes campos.
      Encriptação (Encryption) Selecione o tamanho da chave dos algoritmos AES na lista pendente, para encriptar dados. As opções disponíveis são AES 128, AES 256, AES 128 GCM, AES 256 GCM e Automático (Auto). O valor predefinido é AES 128.
      Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) na lista pendente. É utilizado para gerar material de codificação. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15, 16, 19, 20 e 21. O valor predefinido é 14.
      Hash Selecione uma das seguintes funções do Algoritmo Hash Seguro (SHA) suportadas na lista pendente:
      • SHA 1
      • SHA 256
      • SHA 384
        Nota: Este valor não está disponível para o tipo de serviço WAN Virtual Microsoft Azure (Microsoft Azure Virtual WAN).
      • SHA 512
        Nota: Este valor não está disponível para o tipo de serviço WAN Virtual Microsoft Azure (Microsoft Azure Virtual WAN).
      • Automático (Auto)

      O valor predefinido é SHA 256.
      Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Introduza o tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o máximo é de 1440 minutos. O valor predefinido é 1440 minutos.
      Nota: A recodificação deve ser iniciada antes de 75-80% do tempo de vida expirar.
      Tempo limite DPD (seg) [DPD Timeout(sec)] Introduza o valor do tempo limite da DPD. O valor do tempo limite da DPD será adicionado ao temporizador DPD interno, conforme descrito abaixo. Aguarde uma resposta da mensagem da DPD antes de considerar o par como morto (Deteção de pares mortos).
      Antes da versão 5.1.0, o valor predefinido é de 20 segundos. Para a versão 5.1.0 e posteriores, veja a lista abaixo para obter o valor predefinido.
      • Nome da biblioteca: Quicksec
      • Intervalo da pesquisa: exponencial (0,5 s, 1 s, 2 s, 4 s, 8 s, 16 s)
      • Intervalo mínimo da DPD predefinido: 47,5 s (o Quicksec aguarda 16 segundos após a última tentativa. Assim, 0,5+1+2+4+8+16+16 = 47,5).
      • Intervalo mínimo da DPD predefinido + tempo limite da DPD (s): 67,5 s
      Nota: Para a versão 5.1.0 e posteriores, não é possível desativar a DPD ao configurar o temporizador do tempo limite da DPD como 0 segundos. O valor de tempo limite DPD em segundos é adicionado ao valor mínimo predefinido de 47,5 segundos.
      Ver definições avançadas para a proposta IPsec (View advanced settings for IPsec Proposal): expanda esta opção para ver os seguintes campos.
      Encriptação (Encryption) Selecione o tamanho da chave dos algoritmos AES na lista pendente, para encriptar dados. As opções disponíveis são Nenhum (None), AES 128 e AES 256. O valor predefinido é AES 128.
      PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15, 16, 19, 20 e 21. O valor predefinido é 14.
      Hash Selecione uma das seguintes funções do Algoritmo Hash Seguro (SHA) suportadas na lista pendente:
      • SHA 1
      • SHA 256
      • SHA 384
        Nota: Este valor não está disponível para o tipo de serviço WAN Virtual Microsoft Azure (Microsoft Azure Virtual WAN).
      • SHA 512
        Nota: Este valor não está disponível para o tipo de serviço WAN Virtual Microsoft Azure (Microsoft Azure Virtual WAN).

      O valor predefinido é SHA 256.
      Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Introduza o tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o máximo é de 480 minutos. O valor predefinido é 480 minutos.
      Nota: A recodificação deve ser iniciada antes de 75-80% do tempo de vida expirar.
      Gateway VPN secundário (Secondary VPN Gateway)
      Adicionar (Add) – Clique nesta opção para adicionar um Gateway VPN secundário. São apresentados os seguintes campos.
      IP público (Public IP) Introduza um endereço IPv4 ou IPv6 válido.
      Remover (Remove) Elimina o gateway VPN secundário.
      As definições do túnel são iguais às do Gateway VPN Principal Selecione esta caixa de verificação se quiser utilizar as mesmas definições para os Gateways primário e secundário. Pode optar por introduzir manualmente as definições para o Gateway VPN secundário.
      Sub-redes do site (Site Subnets)
      Adicionar (Add) Clique nesta opção para adicionar uma sub-rede e uma descrição para o Destino Não-SD-WAN.
      Eliminar (Delete) Clique nesta opção para eliminar a sub-rede selecionada.
    3. Clique em Guardar (Save).
  2. Na área Serviços de segurança na cloud (Cloud Security Services), clique em Novo (New).
  3. Na janela Novo serviço de segurança na cloud (New Cloud Security Service), selecione um tipo de serviço no menu pendente. O VMware SD-WAN suporta os seguintes tipos de CSS:
    • Serviço de segurança na cloud genérico (Generic Cloud Security Service)
    • Serviço de Segurança na Cloud da Symantec/Palo Alto
    • Serviço de segurança na cloud Zscaler (Zscaler Cloud Security Service)
    1. Se tiver selecionado o Serviço de segurança na cloud “Genérico” ou “Symantec/Palo Alto” como o Tipo de serviço (Service Type), configure os campos seguintes e, em seguida, clique em Guardar alterações (Save Changes).
      Opção Descrição
      Nome do serviço (Service Name) Introduza um nome descritivo para o serviço de segurança na cloud.
      Ponto de presença principal/servidor (Primary Point-of-Presence/Server) Introduza o endereço IP ou o nome de anfitrião para o servidor principal.
      Ponto de presença secundário/servidor (Secondary Point-of-Presence/Server) Introduza o endereço IP ou o nome de anfitrião para o servidor secundário. Este campo é opcional.
    2. Se tiver selecionado Serviço de segurança na cloud Zscaler (Zscaler Cloud Security Service) em Tipo de serviço (Service Type), configure os campos seguintes e clique em Guardar alterações (Save Changes).
      Opção Descrição
      Nome do serviço (Service Name) Introduza um nome descritivo para o serviço de segurança na cloud.
      Automatizar implementação de serviço na cloud (Automate Cloud Service Deployment) Selecione a caixa de verificação para escolher a implementação de automação.
      URL para iniciar sessão no Zscaler (URL for logging in to Zscaler) Pode optar por utilizar o URL do Zscaler existente na lista pendente ou introduzir um novo URL.
      Servidor principal (Primary Server) Introduza o endereço IP ou o nome de anfitrião para o servidor principal.
      Servidor secundário (Secondary Server) Introduza o endereço IP ou o nome de anfitrião para o servidor secundário. Este campo é opcional.
      Verificação de estado de funcionamento de L7 (L7 Health Check) Selecione a caixa de verificação para monitorizar o estado de funcionamento do servidor Zscaler.
      Nota: Para um dado Edge/Perfil, o utilizador não pode sobrepor os parâmetros de verificação de estado de funcionamento de L7 configurados nos serviços de rede.
      Intervalo da pesquisa HTTP (HTTP Probe Interval) A duração do intervalo entre pesquisas HTTP individuais. O intervalo de pesquisa predefinido é 5 segundos.
      Número de novas tentativas (Number of Retries) Selecione o número de novas tentativas permitido antes de marcar o serviço de cloud como INATIVO. O valor predefinido é 3.
      Limiar RTT (RTT Threshold) O limiar do tempo de ida e volta (RTT), expresso em milissegundos, utilizado para calcular o estado do serviço na cloud. O serviço na cloud será marcado como INATIVO se o RTT medido estiver acima do limiar configurado. O valor predefinido é 3000 milissegundos.
      URL de início de sessão do Zscaler (Zscaler Login URL) Introduza o URL de início de sessão e, em seguida, clique em Iniciar sessão no Zscaler (Login to Zscaler). Será, assim, redirecionado para o portal de administração do Zscaler da cloud Zscaler selecionada.
      Nota: A ligação Iniciar sessão no Zscaler (Login to Zscaler) apenas é ativada se introduzir o URL de início de sessão do Zscaler.
      Nota: Para obter mais informações, consulte Serviços de Segurança na Cloud.
  4. Veja a seguir outras opções disponíveis na secção Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge):
    Opção Descrição
    Eliminar (Delete) Selecione um item e clique nesta opção para o eliminar.
    Colunas (Columns) Clique e selecione as colunas a serem mostradas ou ocultadas na página.
    Nota: Clique no ícone de informações na parte superior da tabela para ver o diagrama concetual e, em seguida, paire sobre o diagrama para obter mais detalhes.

Como proceder a seguir