VMware 支援下列 Non VMware SD-WAN Site 組態:
- 檢查點
- Cisco ASA
- Cisco ISR
- 一般 IKEv2 路由器 (以路由為基礎的 VPN)
- Microsoft Azure 虛擬中樞
- Palo Alto
- SonicWALL
- Zscaler
- 一般 IKEv1 路由器 (以路由為基礎的 VPN)
- 一般防火牆 (以原則為基礎的 VPN)
備註: VMware 現在支援一般 IKEv1 路由器 (以路由為基礎的 VPN) 和一般 IKEv2 路由器 (以路由為基礎的 VPN) Non VMware SD-WAN Site 組態。
Cisco ASA
Cisco ASA 是另一個常見的第三方組態。以下說明如何在 SD-WAN Orchestrator 中使用 Cisco ASA 進行設定的指示。
若要透過 Cisco ASA 進行設定:
- 移至設定 (Configure) > 網路服務 (Network Services)。
- 在非 VeloCloud 站台 (Non-VeloCloud Sites) 區域中,按一下新增 (New) 按鈕。
新增非 VeloCloud 站台 (New Non-VeloCloud Site) 對話方塊隨即出現。
- 在新增非 VeloCloud 站台 (New Non-VeloCloud Site) 對話方塊中:
- 在名稱 (Name) 文字方塊中,輸入 Non VMware SD-WAN Site 的名稱。
- 在類型 (Type) 下拉式功能表中,選取 Cisco ASA。
- 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)。
您的 Non VMware SD-WAN Site 隨即建立,並顯示 Non VMware SD-WAN Site 對話方塊。
- 在您Non VMware SD-WAN Site的對話方塊中:
- 若要設定Non VMware SD-WAN Site主要 VPN 閘道的通道設定,請按一下位於對話方塊底部的進階 (Advanced) 按鈕。
- 在主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
欄位 說明 PSK 預先共用金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,可以在文字方塊中輸入。 加密 (Encryption) 選取 AES 128 或 AES 256 作為加密資料的演算法。預設值為 AES 128。 DH 群組 (DH Group) 選取交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。預設值為 2。 PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。預設值為 2。 備註: Cisco ASA 網路服務類型不支援次要 VPN 閘道。備註:依預設,針對 Cisco ASA Non VMware SD-WAN Site使用的本機驗證識別碼值為 SD-WAN Gateway介面本機 IP。
- 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。
對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。
- 按一下更新位置 (Update location) 連結,為已設定的Non VMware SD-WAN Site設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
- 在站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增Non VMware SD-WAN Site的子網路。
- 使用自訂來源子網路 (Custom Source Subnets),覆寫路由至此 VPN 裝置的來源子網路。通常,來源子網路會衍生自路由至此裝置的 Edge LAN 子網路。
- 當您準備好起始從 SD-WAN Gateway到 Cisco ASA VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
- 按一下儲存變更 (Save Changes)。
Cisco ISR
Cisco ISR 是較為常見的第三方組態之一。以下說明如何在 SD-WAN Orchestrator 中使用 Cisco ISR 進行設定的指示。
若要透過 Cisco ISR 進行設定:
- 移至設定 (Configure) > 網路服務 (Network Services)。
- 在非 VeloCloud 站台 (Non-VeloCloud Sites) 區域中,按一下新增 (New) 按鈕。
[新增非 VeloCloud 站台 (New Non-VeloCloud Site)] 對話方塊隨即出現。
- 在新增非 VeloCloud 站台 (New Non-VeloCloud Site) 對話方塊中:
- 在名稱 (Name) 文字方塊中,輸入 Non VMware SD-WAN Site 的名稱。
- 在類型 (Type) 下拉式功能表中,選取 Cisco ISR。
- 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)。
您的 Non VMware SD-WAN Site 隨即建立,並顯示 Non VMware SD-WAN Site 對話方塊。
- 在您Non VMware SD-WAN Site的對話方塊中:
- 若要設定Non VMware SD-WAN Site主要 VPN 閘道的通道設定,請按一下位於對話方塊底部的進階 (Advanced) 按鈕。
- 參考上表來設定通道設定,例如 PSK、加密、DH 群組和 PFS。
- 如果您想要為此站台建立次要 VPN 閘道,請按一下次要 VPN 閘道 (Secondary VPN Gateway) 旁的新增 (Add) 按鈕。在快顯視窗中,輸入次要 VPN 閘道的 IP 位址,然後按一下儲存變更 (Save Changes)。
系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。
備註:依預設,針對 Cisco ISR Non VMware SD-WAN Site使用的本機驗證識別碼值為 SD-WAN Gateway介面本機 IP。
- 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。
- 在站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增Non VMware SD-WAN Site的子網路。
- 當您準備好起始從 SD-WAN Gateway到 Cisco ISR VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
- 按一下儲存變更 (Save Changes)。
Microsoft Azure 虛擬中樞
Microsoft Azure 虛擬中樞是較為常見的第三方組態之一。如需相關指示以在 SD-WAN Orchestrator 中設定 Microsoft Azure 虛擬中樞類型的 Non VMware SD-WAN Site,請參閱設定 Microsoft Azure Non VMware SD-WAN Site。