說明如何透過 SD-WAN Orchestrator 中的 SD-WAN Edge設定一般 IKEv1 路由器 (以路由為基礎的 VPN) (Generic IKEv1 Router (Route Based VPN)) 類型的Non VMware SD-WAN Site

程序

  1. SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)
    服務 (Services) 畫面隨即出現。
  2. 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 區域中,按一下新增 (New) 按鈕。
    透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 對話方塊隨即出現。
  3. 服務名稱 (Service Name) 文字方塊中,輸入Non VMware SD-WAN Site的名稱。
  4. 服務類型 (Service Type) 下拉式功能表中,選取一般 IKEv1 路由器 (以路由為基礎的 VPN) (Generic IKEv1 Router (Route Based VPN)) 作為 IPSec 通道類型。
  5. 下一步 (Next)
    此時會建立 IKEv1 類型且以路由為基礎的 Non VMware SD-WAN Site,並顯示 Non VMware SD-WAN Site的對話方塊。
  6. 主要 VPN 閘道 (Primary VPN Gateway)公用 IP (Public IP) 文字方塊中,輸入主要 VPN 閘道的 IP 位址。
  7. 若要設定Non VMware SD-WAN Site主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
  8. 主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
    欄位 說明
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。如果您不想加密資料,請選取 Null。預設值為 AES 128。
    DH 群組 (DH Group) 選取交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5、14、15 和 16。建議使用 DH 群組 14。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2、5、14、15 和 16。預設值為停用。
    雜湊 (Hash) VPN 標頭的驗證演算法。從清單中選取下列其中一個支援的安全雜湊演算法 (SHA) 功能:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    預設值為 SHA 256。

    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。
    DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) 裝置在認為對等無作用之前,需等待接收對 DPD 訊息回應的時間上限。預設值為 20 秒。您可以將 DPD 逾時計時器設定為 0 秒來停用 DPD。
    備註: 當 AWS 使用 VMware SD-WAN Gateway (在非 SD-WAN 目的地) 起始重設金鑰通道時,可能會發生故障且不會建立通道,這可能會導致流量中斷。符合下列項目:
    • SD-WAN Gateway的 IPSec SA 存留時間 (分鐘) 計時器組態必須小於 60 分鐘 (建議為 50 分鐘),以符合 AWS 預設 IPSec 組態。
    • DH 和 PFS DH 群組必須相符。
  9. 如果您想要為此站台建立次要 VPN 閘道,請選取次要 VPN 閘道 (Secondary VPN Gateway) 核取方塊,然後在公用 IP (Public IP) 文字方塊中輸入次要 VPN 閘道的 IP 位址。

    系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。

  10. 選取保持通道作用中 (Keep Tunnel Active) 核取方塊,以保持此站台的次要 VPN 通道處於作用中狀態。
  11. 選取通道設定與主要 VPN 閘道相同 (Tunnel settings are same as Primary VPN Gateway) 核取方塊,以套用與主要 VPN 閘道相同的通道設定。
    對主要 VPN 閘道所做的任何通道設定變更,也將套用至次要 VPN 通道 (如果已設定)。
  12. 站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增Non VMware SD-WAN Site的子網路。
    備註: 若要支援資料中心類型的 Non VMware SD-WAN Site (IPSec 連線除外),您將需要在 VMware 系統中設定 Non VMware SD-WAN Site本機子網路。
  13. 按一下儲存變更 (Save Changes)