說明如何透過 SD-WAN Orchestrator 中的 SD-WAN Edge設定一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN)) 類型的非 SD-WAN 目的地。
程序
- 在 SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)。
服務 (Services) 畫面隨即出現。
- 在透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 區域中,按一下新增 (New) 按鈕。
透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 對話方塊隨即出現。
- 在服務名稱 (Service Name) 文字方塊中,輸入非 SD-WAN 目的地的名稱。
- 從服務類型 (Service Type) 下拉式功能表中,選取一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN)) 作為 IPSec 通道類型。
- 按下一步 (Next)。
此時會建立 IKEv1 類型且以路由為基礎的 非 SD-WAN 目的地,並顯示 非 SD-WAN 目的地的對話方塊。
- 在主要 VPN 閘道 (Primary VPN Gateway) 的公用 IP (Public IP) 文字方塊中,輸入主要 VPN 閘道的 IP 位址。
- 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
- 在主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
欄位 說明 加密 (Encryption) 選取 AES 128 或 AES 256 作為加密資料的 AES 演算法金鑰大小。如果您不想加密資料,請選取空值 (Null)。預設值為 AES 128。 DH 群組 (DH Group) 選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5、14、15 和 16。建議使用 DH 群組 14。 PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2、5、14、15 和 16。預設值是 [已停用 (Deactivated)]。 雜湊 (Hash) VPN 標頭的驗證演算法。從清單中選取下列其中一個支援的安全雜湊演算法 (SHA) 功能: - SHA 1
- SHA 256
- SHA 384
- SHA 512
預設值為 SHA 256。
IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。 IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。 DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) 輸入 DPD 逾時值。DPD 逾時值會新增到內部 DPD 計時器中,如下所述。將對等視為無作用 (無作用對等偵測) 之前,請等待接收 DPD 訊息的回應。 在 5.1.0 版本之前,預設值為 20 秒。若為 5.1.0 及更新版本,請參閱下表以取得預設值。- 程式庫名稱:Quicksec
- 探查間隔:指數 (0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 預設最小 DPD 間隔:47.5 秒 (QuickSec 在上次重試後會等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 預設最小 DPD 間隔 + DPD 逾時 (秒):67.5 秒
備註: 在 5.1.0 版本之前,您可以將 DPD 逾時計時器設定為 0 秒,以停用 DPD。但是,若是 5.1.0 及更新版本,則無法藉由將 DPD 逾時計時器設定為 0 秒來停用 DPD。DPD 逾時值 (以秒為單位) 將新增至預設的最小值 (47.5 秒)。備註: 當 AWS 使用 VMware SD-WAN 閘道 (在非 SD-WAN 目的地) 起始重設金鑰通道時,可能會發生故障且不會建立通道,這可能會導致流量中斷。符合下列項目:- SD-WAN 閘道的 IPSec SA 存留時間 (分鐘) 計時器組態必須小於 60 分鐘 (建議為 50 分鐘),以符合 AWS 預設 IPSec 組態。
- DH 和 PFS DH 群組必須相符。
- 如果您想要為此站台建立次要 VPN 閘道,請選取次要 VPN 閘道 (Secondary VPN Gateway) 核取方塊,然後在公用 IP (Public IP) 文字方塊中輸入次要 VPN 閘道的 IP 位址。
系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。
- 選取使通道保持作用中狀態 (Keep Tunnel Active) 核取方塊,以保持此站台的次要 VPN 通道處於作用中狀態。
- 選取通道設定與主要 VPN 閘道相同 (Tunnel settings are same as Primary VPN Gateway) 核取方塊,以套用與主要 VPN 閘道相同的通道設定。
對主要 VPN 閘道所做的任何通道設定變更,也將套用至次要 VPN 通道 (如果已設定)。
- 在站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增非 SD-WAN 目的地的子網路。
備註: 若要支援資料中心類型的 非 SD-WAN 目的地 (IPSec 連線除外),您將需要在 VMware 系統中設定 非 SD-WAN 目的地本機子網路。
- 按一下儲存變更 (Save Changes)。