說明如何透過 SD-WAN Orchestrator 中的 SD-WAN 閘道設定一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN)) 類型的非 SD-WAN 目的地。
程序
- 在 SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)。
服務 (Services) 畫面隨即出現。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下新增 (New) 按鈕。
隨即顯示
新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Gateway)。
- 在名稱 (Name) 文字方塊中,輸入 非 SD-WAN 目的地 的名稱。
- 在類型 (Type) 下拉式功能表中,選取一般 IKEv1 路由器 (路由型 VPN) (Generic IKEv1 Router (Route Based VPN))。
- 輸入主要 VPN 閘道的 IP 位址 (必要時也輸入次要 VPN 閘道的位址),然後按下一步 (Next)。
此時會建立 IKEv1 類型且以路由為基礎的
非 SD-WAN 目的地,並顯示
非 SD-WAN 目的地的對話方塊。
- 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
- 在主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
欄位 |
說明 |
通道模式 (Tunnel Mode) |
SD-WAN 閘道支援作用中/熱待命。作用中/熱待命會自動顯示,指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。 |
PSK |
預先共用的金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,可以在文字方塊中輸入。
備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。
|
加密 (Encryption) |
選取 AES 128 或 AES 256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES 128。 |
DH 群組 (DH Group) |
選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。建議使用 DH 群組 14。 |
PFS |
選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2 和 5。預設值為 2。 |
- 如果您想要為此站台建立次要 VPN 閘道,請按一下次要 VPN 閘道 (Secondary VPN Gateway) 旁的新增 (Add) 按鈕。在快顯視窗中,輸入次要 VPN 閘道的 IP 位址,然後按一下儲存變更 (Save Changes)。
系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。
- 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。
對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下
檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。
- 按一下更新位置 (Update location) 連結,為已設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
- 本機驗證識別碼會定義本機閘道的格式和識別。從本機驗證識別碼 (Local Auth Id) 下拉式功能表中,選擇下列其中一種類型,然後輸入您決定的值:
- FQDN - 完整網域名稱或主機名稱。例如 google.com。
- 使用者 FQDN (User FQDN) - 電子郵件地址形式的使用者完整網域名稱。例如 [email protected]。
- IPv4 - 用來與本機閘道進行通訊的 IP 位址。
備註:
對於一般以路由為基礎的 VPN,若使用者未指定任何值,則會使用預設值 (Default) 作為本機驗證識別碼。預設的本機驗證識別碼值將是 SD-WAN 閘道介面公用 IP。
- 在站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增非 SD-WAN 目的地的子網路。如果您不需要站台的子網路,請選取停用站台子網路 (Deactivate Site Subnets) 核取方塊。
- 當您準備好起始從 SD-WAN 閘道到一般 IKEv1 VPN 閘道的通道後,請選取啟用通道 (Enable Tunnel(s)) 核取方塊。
- 按一下儲存變更 (Save Changes)。
- 在 SD-WAN Orchestrator 中導覽至設定 (Configure) > 設定檔 (Profiles),將新建立的非 SD-WAN 站台網路服務指派給設定檔。請參閱設定分支與透過閘道的非 SD-WAN 目的地之間的通道。
- 在 SD-WAN Orchestrator 中移至設定 (Configure) > 網路服務 (Network Services),以返回透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,捲動至非 SD-WAN 站台的名稱,然後按一下 BGP 資料行中的編輯 (Edit) 連結。
- 設定下列必要欄位的 BGP 值:本機 ASN、通道類型、芳鄰 IP 和本機 IP (位於 [進階選項] 區段中)。如需詳細資訊,請參閱從閘道設定透過 IPSec 的 BGP。
備註: SD-WAN Orchestrator 指派的 VTI IP (私人 IP) 可用於單一躍點 BGP 中的對等關係。
- 按一下確定 (OK) 以儲存變更。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,按一下 非 SD-WAN 目的地 的 BFD 資料行中的編輯 (Edit) 連結,以進行 BFD 設定。如需詳細資訊,請參閱為閘道設定 BFD。
下一步
您可以在監控索引標籤中檢查非 SD-WAN 站台的整體狀態。請參閱: