說明如何在 SD-WAN Orchestrator 中設定 Cisco ASA 類型的非 SD-WAN 目的地

程序

  1. SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)
    服務 (Services) 畫面隨即出現。
  2. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下新增 (New) 按鈕。
    隨即顯示 透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Gateway)
  3. 名稱 (Name) 文字方塊中,輸入 非 SD-WAN 目的地 的名稱。
  4. 類型 (Type) 下拉式功能表中,選取 Cisco ASA
  5. 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)
    此時會建立 Cisco ASA 類型的 非 SD-WAN 目的地,並顯示 非 SD-WAN 目的地的對話方塊。
    complementary-config-third-party-cisco-asa-site-dialog
  6. 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
  7. 主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
    欄位 說明
    PSK 預先共用金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,可以在文字方塊中輸入。
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES 128。
    DH 群組 (DH Group) 選取交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。建議使用 DH 群組 14。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2 和 5。預設值會停用。
    備註: Cisco ASA 網路服務類型不支援次要 VPN 閘道。
    備註:

    依預設,針對 Cisco ASA 非 SD-WAN 目的地使用的本機驗證識別碼值為 SD-WAN 閘道介面本機 IP。

  8. 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。
    對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下 檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。
  9. 按一下更新位置 (Update location) 連結,為已設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
  10. 站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增非 SD-WAN 目的地的子網路。
  11. 使用自訂來源子網路 (Custom Source Subnets),覆寫路由至此 VPN 裝置的來源子網路。通常,來源子網路會衍生自路由至此裝置的 Edge LAN 子網路。
  12. 當您準備好起始從 SD-WAN 閘道到 Cisco ASA VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
  13. 按一下儲存變更 (Save Changes)