說明如何設定 AWS VPN 閘道類型的非 VMware SD-WAN 站台。

關於此工作

您只能在設定檔層級上設定「透過閘道的非 SD-WAN 目的地」,且無法在 SD-WAN Edge 層級上進行覆寫。

程序

  1. SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)

    服務 (Services) 畫面隨即出現。

  2. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下新增 (New) 按鈕。

    隨即顯示新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Gateway)

  3. 名稱 (Name) 文字方塊中,輸入 非 SD-WAN 目的地 的名稱。
  4. 類型 (Type) 下拉式功能表中,選取 AWS VPN 閘道 (AWS VPN Gateway)

  5. 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)

    此時會建立 AWS VPN 閘道類型的非 SD-WAN 目的地,並顯示非 SD-WAN 目的地的對話方塊。

  6. 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。

  7. 主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
    欄位 說明
    通道模式 (Tunnel Mode) SD-WAN 閘道支援作用中/熱待命。作用中/熱待命會自動顯示,指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。
    PSK 預先共用的金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,SD-WAN Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,請在文字方塊中輸入。
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES 128。
    DH 群組 (DH Group) 選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。建議使用 DH 群組 14。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2 和 5。預設值是 [已停用 (Deactivated)]。
    驗證演算法 (Authentication Algorithm) VPN 標頭的驗證演算法。從下拉式功能表清單中選取下列其中一個支援的安全雜湊演算法 (SHA) 功能:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    預設值為 SHA 1。

    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 SD-WAN Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。
    DPD 類型 (DPD Type) 無作用對等偵測 (DPD) 方法用於偵測網際網路金鑰交換 (IKE) 對等是否處於作用中或無作用狀態。如果偵測到對等為無作用,則裝置會刪除 IPsec 和 IKE 安全性關聯。從清單中選取 [定期 (Periodic)] 或 [隨選 (on Demand)]。預設值為 [隨選 (on Demand)]。
    DPD 逾時 (秒) (DPD Timeout(sec)) 裝置在認為對等無作用之前,需等待接收對 DPD 訊息回應的時間上限。預設值為 20 秒。您可以將 DPD 逾時計時器設定為 0 秒來停用 DPD。
  8. 若要為此站台建立次要 VPN 閘道,請按一下次要 VPN 閘道 (Secondary VPN Gateway) 旁的新增 (Add) 按鈕。在快顯視窗中,輸入次要 VPN 閘道的 IP 位址,然後按一下儲存變更 (Save Changes)

    系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。

  9. 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。
  10. 在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。

  11. 按一下更新位置 (Update location) 連結 (位於 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destination Via Gateway) 對話方塊的右上角),為已設定的非 VMware SD-WAN 站台設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 SD-WAN Edge 或 SD-WAN 閘道。
  12. 站台子網路 (Site Subnets) 區域下方,您可以按一下 + 按鈕以新增非 VMware SD-WAN 站台的子網路。使用 [自訂來源子網路 (Custom Source Subnets)],覆寫路由至此 VPN 裝置的來源子網路。通常,來源子網路會衍生自路由至此裝置的 SD-WAN Edge LAN 子網路。
    備註: 如果沒有已設定的站台子網路,則應停用站台子網路,以啟用通道。
  13. 當您準備好起始從 SD-WAN 閘道到 AWS VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
  14. 按一下儲存變更 (Save Changes)
  15. 在 SD-WAN Orchestrator 中導覽至設定 (Configure) > 設定檔 (Profiles),將新建立的非 SD-WAN 站台網路服務指派給設定檔。請參閱設定分支與透過閘道的非 SD-WAN 目的地之間的通道
  16. 在 SD-WAN Orchestrator 中移至設定 (Configure) > 網路服務 (Network Services),以返回透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域。
  17. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,捲動至非 SD-WAN 站台的名稱,然後按一下 BGP 資料行中的編輯 (Edit) 連結。
  18. 根據下列必要欄位的 AWS 值來設定 BGP:本機 ASN、通道類型、芳鄰 IP 和本機 IP (位於 [進階選項] 區段中)。附註:依預設會更新通道類型。如有需要,請參閱 AWS 說明文件。如需詳細資訊,請參閱從閘道設定透過 IPSec 的 BGP
  19. 按一下確定 (OK) 按鈕以儲存變更。
  20. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下 非 SD-WAN 目的地BFD 資料行中的編輯 (Edit) 連結,以設定 BFD 設定。如需詳細資訊,請參閱為閘道設定 BFD

後續步驟

您可以在監控索引標籤中檢查非 SD-WAN 站台的整體狀態。請參閱: