說明如何設定 AWS VPN 閘道類型的非 VMware SD-WAN 站台。
關於此工作
您只能在設定檔層級上設定「透過閘道的非 SD-WAN 目的地」,且無法在 SD-WAN Edge 層級上進行覆寫。
程序
- 在 SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)。
服務 (Services) 畫面隨即出現。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下新增 (New) 按鈕。
隨即顯示新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Gateway)。
- 在名稱 (Name) 文字方塊中,輸入 非 SD-WAN 目的地 的名稱。
- 在類型 (Type) 下拉式功能表中,選取 AWS VPN 閘道 (AWS VPN Gateway)。
- 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)。
此時會建立 AWS VPN 閘道類型的非 SD-WAN 目的地,並顯示非 SD-WAN 目的地的對話方塊。
- 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
- 在主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
欄位 說明 通道模式 (Tunnel Mode) SD-WAN 閘道支援作用中/熱待命。作用中/熱待命會自動顯示,指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。 PSK 預先共用的金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,SD-WAN Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,請在文字方塊中輸入。 加密 (Encryption) 選取 AES 128 或 AES 256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES 128。 DH 群組 (DH Group) 選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。建議使用 DH 群組 14。 PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2 和 5。預設值是 [已停用 (Deactivated)]。 驗證演算法 (Authentication Algorithm) VPN 標頭的驗證演算法。從下拉式功能表清單中選取下列其中一個支援的安全雜湊演算法 (SHA) 功能: - SHA 1
- SHA 256
- SHA 384
- SHA 512
預設值為 SHA 1。
IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 SD-WAN Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。 IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。 DPD 類型 (DPD Type) 無作用對等偵測 (DPD) 方法用於偵測網際網路金鑰交換 (IKE) 對等是否處於作用中或無作用狀態。如果偵測到對等為無作用,則裝置會刪除 IPsec 和 IKE 安全性關聯。從清單中選取 [定期 (Periodic)] 或 [隨選 (on Demand)]。預設值為 [隨選 (on Demand)]。 DPD 逾時 (秒) (DPD Timeout(sec)) 輸入 DPD 逾時值。DPD 逾時值會新增到內部 DPD 計時器中,如下所述。將對等視為無作用 (無作用對等偵測) 之前,請等待接收 DPD 訊息的回應。 在 5.1.0 版本之前,預設值為 20 秒。若為 5.1.0 及更新版本,請參閱下表以取得預設值。- 程式庫名稱:Quicksec
- 探查間隔:指數 (0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 預設最小 DPD 間隔:47.5 秒 (QuickSec 在上次重試後會等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 預設最小 DPD 間隔 + DPD 逾時 (秒):67.5 秒
備註: 在 5.1.0 版本之前,您可以將 DPD 逾時計時器設定為 0 秒,以停用 DPD。但是,若是 5.1.0 及更新版本,則無法藉由將 DPD 逾時計時器設定為 0 秒來停用 DPD。DPD 逾時值 (以秒為單位) 將新增至預設的最小值 (47.5 秒)。 - 若要為此站台建立次要 VPN 閘道,請按一下次要 VPN 閘道 (Secondary VPN Gateway) 旁的新增 (Add) 按鈕。在快顯視窗中,輸入次要 VPN 閘道的 IP 位址,然後按一下儲存變更 (Save Changes)。
系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。
- 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。
- 在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。
- 按一下更新位置 (Update location) 連結 (位於 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destination Via Gateway) 對話方塊的右上角),為已設定的非 VMware SD-WAN 站台設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 SD-WAN Edge 或 SD-WAN 閘道。
- 在站台子網路 (Site Subnets) 區域下方,您可以按一下 + 按鈕以新增非 VMware SD-WAN 站台的子網路。使用 [自訂來源子網路 (Custom Source Subnets)],覆寫路由至此 VPN 裝置的來源子網路。通常,來源子網路會衍生自路由至此裝置的 SD-WAN Edge LAN 子網路。
備註: 如果沒有已設定的站台子網路,則應停用站台子網路,以啟用通道。
- 當您準備好起始從 SD-WAN 閘道到 AWS VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
- 按一下儲存變更 (Save Changes)。
- 在 SD-WAN Orchestrator 中導覽至設定 (Configure) > 設定檔 (Profiles),將新建立的非 SD-WAN 站台網路服務指派給設定檔。請參閱設定分支與透過閘道的非 SD-WAN 目的地之間的通道。
- 在 SD-WAN Orchestrator 中移至設定 (Configure) > 網路服務 (Network Services),以返回透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,捲動至非 SD-WAN 站台的名稱,然後按一下 BGP 資料行中的編輯 (Edit) 連結。
- 根據下列必要欄位的 AWS 值來設定 BGP:本機 ASN、通道類型、芳鄰 IP 和本機 IP (位於 [進階選項] 區段中)。附註:依預設會更新通道類型。如有需要,請參閱 AWS 說明文件。如需詳細資訊,請參閱從閘道設定透過 IPSec 的 BGP。
- 按一下確定 (OK) 按鈕以儲存變更。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下 非 SD-WAN 目的地 的 BFD 資料行中的編輯 (Edit) 連結,以設定 BFD 設定。如需詳細資訊,請參閱為閘道設定 BFD。
後續步驟
您可以在監控索引標籤中檢查非 SD-WAN 站台的整體狀態。請參閱: