說明如何透過 SD-WAN Orchestrator 中的 SD-WAN 閘道設定一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN)) 類型的非 SD-WAN 目的地

備註: 若要設定透過 Edge 的 一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN)),請參閱 透過 Edge 設定一般 IKEv1 路由器類型的非 VMware SD-WAN 站台

程序

  1. SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)
    服務 (Services) 畫面隨即出現。
  2. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下新增 (New) 按鈕。
    隨即顯示 新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Gateway)
  3. 名稱 (Name) 文字方塊中,輸入 非 SD-WAN 目的地 的名稱。
  4. 類型 (Type) 下拉式功能表中,選取一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN))
  5. 輸入主要 VPN 閘道的 IP 位址 (必要時也輸入次要 VPN 閘道的位址),然後按下一步 (Next)
    此時會建立 IKEv1 類型且以路由為基礎的 非 SD-WAN 目的地,並顯示 非 SD-WAN 目的地的對話方塊。
  6. 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
  7. 主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
    欄位 說明
    通道模式 (Tunnel Mode) SD-WAN 閘道支援作用中/熱待命。作用中/熱待命會自動顯示,指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。
    PSK 預先共用的金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,可以在文字方塊中輸入。
    備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES 128。
    DH 群組 (DH Group) 選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。建議使用 DH 群組 14。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2 和 5。預設值為 2。
  8. 如果您想要為此站台建立次要 VPN 閘道,請按一下次要 VPN 閘道 (Secondary VPN Gateway) 旁的新增 (Add) 按鈕。在快顯視窗中,輸入次要 VPN 閘道的 IP 位址,然後按一下儲存變更 (Save Changes)

    系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。

  9. 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。
    對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下 檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。
  10. 按一下更新位置 (Update location) 連結,為已設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
  11. 本機驗證識別碼會定義本機閘道的格式和識別。從本機驗證識別碼 (Local Auth Id) 下拉式功能表中,選擇下列其中一種類型,然後輸入您決定的值:
    • FQDN - 完整網域名稱或主機名稱。例如 google.com。
    • 使用者 FQDN (User FQDN) - 電子郵件地址形式的使用者完整網域名稱。例如 [email protected]
    • IPv4 - 用來與本機閘道進行通訊的 IP 位址。
    備註:

    對於一般以路由為基礎的 VPN,若使用者未指定任何值,則會使用預設值 (Default) 作為本機驗證識別碼。預設的本機驗證識別碼值將是 SD-WAN 閘道介面公用 IP。

  12. 站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增非 SD-WAN 目的地的子網路。如果您不需要站台的子網路,請選取停用站台子網路 (Deactivate Site Subnets) 核取方塊。
  13. 當您準備好起始從 SD-WAN 閘道到一般 IKEv1 VPN 閘道的通道後,請選取啟用通道 (Enable Tunnel(s)) 核取方塊。
  14. 按一下儲存變更 (Save Changes)
  15. 在 SD-WAN Orchestrator 中導覽至設定 (Configure) > 設定檔 (Profiles),將新建立的非 SD-WAN 站台網路服務指派給設定檔。請參閱設定分支與透過閘道的非 SD-WAN 目的地之間的通道
  16. 在 SD-WAN Orchestrator 中移至設定 (Configure) > 網路服務 (Network Services),以返回透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域。
  17. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,捲動至非 SD-WAN 站台的名稱,然後按一下 BGP 資料行中的編輯 (Edit) 連結。
  18. 設定下列必要欄位的 BGP 值:本機 ASN、通道類型、芳鄰 IP 和本機 IP (位於 [進階選項] 區段中)。如需詳細資訊,請參閱從閘道設定透過 IPSec 的 BGP
    備註: SD-WAN Orchestrator 指派的 VTI IP (私人 IP) 可用於單一躍點 BGP 中的對等關係。
  19. 按一下確定 (OK) 以儲存變更。
  20. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下 非 SD-WAN 目的地BFD 資料行中的編輯 (Edit) 連結,以進行 BFD 設定。如需詳細資訊,請參閱為閘道設定 BFD

下一步

您可以在監控索引標籤中檢查非 SD-WAN 站台的整體狀態。請參閱: