VMware 允許企業使用者定義及設定非 SD-WAN 目的地執行個體,以直接建立從 SD-WAN Edge 至非 SD-WAN 目的地的安全 IPSec 通道。本節還允許您設定雲端安全服務。
程序
- 在企業入口網站中,移至設定 (Configure) > 網路服務 (Network Services),然後在非 SD-WAN 目的地 (Non SD-WAN Destinations) 下,展開透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge)。
- 在透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 區域中,按一下新增 (New) 或新增透過 Edge 的 NSD (New NSD via Edge) 選項,以建立新的非 SD-WAN 目的地。
備註: 僅當資料表中沒有項目時,才會顯示 新增透過 Edge 的 NSD (New NSD via Edge) 選項。
- 可用的組態選項如下:
選項 說明 一般 (General) 服務名稱 (Service Name) 輸入非 SD-WAN 目的地的名稱。此為必填欄位。 服務類型 (Service Type) 從下拉式功能表中選取服務類型。可用選項包括一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN))、一般 IKEv2 路由器 (路由型 VPN)(Generic IKEv2 Router (Route Based VPN)) 和 Microsoft Azure 虛擬 WAN (Microsoft Azure Virtual Wan)。此為必填欄位。 通道模式 (Tunnel mode) 從下拉式功能表中選取通道模式。可用選項包括作用中/作用中 (Active/Active)、作用中/熱待命 (Active/Hot-Standby) 和作用中/待命 (Active/Standby)。 IKE/IPSec 設定 (IKE/IPSec Settings) IP 版本 (IP Version) 顯示目前非 SD-WAN 目的地的 IP 版本。 主要 VPN 閘道 (Primary VPN Gateway) 公用 IP (Public IP) 輸入有效的 IPv4 或 IPv6 位址。此為必填欄位。 檢視 IKE 建議的進階設定:展開此選項,可檢視以下欄位。 加密 (Encryption) 從下拉式清單中選取 AES 演算法金鑰大小,以加密資料。可用選項包括 AES 128、AES 256、AES 128 GCM、AES 256 GCM 和自動 (Auto)。預設值為 AES 128。 DH 群組 (DH Group) 從下拉式清單中選取 Diffie-Hellman (DH) 群組演算法。此演算法用來產生設定金鑰資料。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5、14、15、16、19、20 和 21。預設值為 14。 雜湊 (Hash) 從下拉式清單中,選取下列其中一個支援的安全雜湊演算法 (SHA) 功能: - SHA 1
- SHA 256
- SHA 384
備註: 此值不適用於 Microsoft Azure 虛擬 WAN (Microsoft Azure Virtual Wan) 服務類型。
- SHA 512
備註: 此值不適用於 Microsoft Azure 虛擬 WAN (Microsoft Azure Virtual Wan) 服務類型。
- 自動
預設值為 SHA 256。
IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 輸入針對 Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。 備註: 必須在 75-80% 的存留時間到期之前起始重設金鑰。DPD 逾時 (秒) (DPD Timeout(sec)) 輸入 DPD 逾時值。DPD 逾時值會新增到內部 DPD 計時器中,如下所述。將對等視為無作用 (無作用對等偵測) 之前,請等待接收 DPD 訊息的回應。 在 5.1.0 版本之前,預設值為 20 秒。若為 5.1.0 及更新版本,請參閱下表以取得預設值。- 程式庫名稱:Quicksec
- 探查間隔:指數 (0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 預設最小 DPD 間隔:47.5 秒 (QuickSec 在上次重試後會等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 預設最小 DPD 間隔 + DPD 逾時 (秒):67.5 秒
備註: 在 5.1.0 版本之前,您可以將 DPD 逾時計時器設定為 0 秒,以停用 DPD。但是,若是 5.1.0 及更新版本,則無法藉由將 DPD 逾時計時器設定為 0 秒來停用 DPD。DPD 逾時值 (以秒為單位) 將新增至預設的最小值 (47.5 秒)。檢視 IPSec 建議的進階設定:展開此選項,可檢視以下欄位。 加密 (Encryption) 從下拉式清單中選取 AES 演算法金鑰大小,以加密資料。可用選項包括無 (None)、AES 128 和 AES 256。預設值為 AES 128。 PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2、5、14、15、16、19、20 和 21。預設值為 14。 雜湊 (Hash) 從下拉式清單中,選取下列其中一個支援的安全雜湊演算法 (SHA) 功能: - SHA 1
- SHA 256
- SHA 384
備註: 此值不適用於 Microsoft Azure 虛擬 WAN (Microsoft Azure Virtual Wan) 服務類型。
- SHA 512
備註: 此值不適用於 Microsoft Azure 虛擬 WAN (Microsoft Azure Virtual Wan) 服務類型。
預設值為 SHA 256。
IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 輸入針對 Edge 起始網際網路安全性通訊協定 (IPSec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。 備註: 必須在 75-80% 的存留時間到期之前起始重設金鑰。次要 VPN 閘道 (Secondary VPN Gateway) 新增 (Add) - 按下此選項,可新增次要 VPN 閘道。將顯示以下欄位。 公用 IP (Public IP) 輸入有效的 IPv4 或 IPv6 位址。 移除 (Remove) 刪除次要 VPN 閘道。 通道設定與主要 VPN 閘道相同 如果您要對主要和次要閘道使用相同的設定,請選取此核取方塊。您可以選擇手動輸入次要 VPN 閘道的設定。 站台子網路 (Site Subnets) 新增 (Add) 按一下此選項,可為非 SD-WAN 目的地新增子網路和說明。 刪除 (Delete) 按下此選項,可刪除選取的子網路。 - 按一下儲存 (Save)。
- 在透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 區域中,按一下新增 (New) 或新增透過 Edge 的 NSD (New NSD via Edge) 選項,以建立新的非 SD-WAN 目的地。
- 在雲端安全服務 (Cloud Security Service) 區域中,按一下新增 (New)。
- 在新增雲端安全服務 (New Cloud Security Service) 視窗中,從下拉式功能表中,選取服務類型。VMware SD-WAN 支援以下 CSS 類型:
- 一般雲端安全服務
- Symantec/Palo Alto 雲端安全服務
- Zscaler 雲端安全服務
- 如果您選取 [一般 (Generic)] 或 [Symantec / Palo Alto] 雲端安全服務作為服務類型 (Service Type),請設定以下欄位,然後按一下儲存變更 (Save Changes)。
選項 說明 服務名稱 (Service Name) 輸入雲端安全服務的描述性名稱。 主要存在點/伺服器 (Primary Point-of-Presence/Server) 輸入主要伺服器的 IP 位址或主機名稱。 次要存在點/伺服器 (Secondary Point-of-Presence/Server) 輸入次要伺服器的 IP 位址或主機名稱。這是選用欄位。 - 如果您選取 Zscaler 雲端安全服務 (Zscaler Cloud Security Service) 作為服務類型 (Service Type),請設定以下欄位,然後按一下儲存變更 (Save Changes)。
選項 說明 服務名稱 (Service Name) 輸入雲端安全服務的描述性名稱。 自動化雲端服務部署 (Automate Cloud Service Deployment) 選取此核取方塊,以選擇自動化部署。 用於登入 Zscaler 的 URL (URL for logging in to Zscaler) 您可以從下拉式清單中,選擇使用現有的 Zscaler URL,也可以輸入一個新 URL。 主要伺服器 (Primary Server) 輸入主要伺服器的 IP 位址或主機名稱。 次要伺服器 (Secondary Server) 輸入次要伺服器的 IP 位址或主機名稱。這是選用欄位。 L7 健全狀況檢查 (L7 Health Check) 選取此核取方塊,可監控 Zscaler 伺服器的健全狀況。 備註: 對於指定的 Edge/設定檔,使用者無法覆寫在網路服務中設定的 L7 健全狀況檢查參數。HTTP 探查間隔 (HTTP Probe Interval) 顯示個別 HTTP 探查之間隔的持續時間。預設探查間隔為 5 秒。 重試次數 (Number of Retries) 選取將雲端服務標記為「已關閉」之前允許的重試次數。預設值為 3。 RTT 臨界值 (RTT Threshold) 以毫秒表示的來回行程時間 (RTT) 臨界值,用以計算雲端服務狀態。如果測量的 RTT 高於已設定的臨界值,則系統會將雲端服務標記為「已關閉」。預設值為 3000 毫秒。 Zscaler 登入 URL (Zscaler Login URL) 輸入登入 URL,然後按一下登入 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。 備註: 僅當輸入 Zscaler 登入 URL 時,才會啟用 登入 Zscaler (Login to Zscaler) 連結。
- 以下是透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 區段下的其他可用選項:
選項 說明 刪除 (Delete) 選取一個項目,並按一下此選項,可將其刪除。 資料行 (Columns) 按一下並選取要在頁面上顯示或隱藏的資料行。 備註: 按一下資料表頂端的資訊圖示,可檢視概念圖,然後將游標暫留在該圖表上方,以取得更多詳細資料。