請按照以下步驟,在 SASE Orchestrator 中設定一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN)) 類型的非 SD-WAN 目的地

程序

  1. 建立一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN)) 類型的非 SD-WAN 目的地組態之後,您會被重新導向至其他組態選項頁面:
  2. 您可以設定下列通道設定:
    選項 說明
    一般
    名稱 (Name) 您可以編輯先前針對非 SD-WAN 目的地所輸入的名稱。
    類型 (Type) 將類型顯示為一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))。您無法編輯此選項。
    啟用通道 (Enable Tunnels) 按一下切換按鈕,可起始從 SD-WAN 閘道至一般 IKEv2 路由器 VPN 閘道的通道。
    通道模式 (Tunnel Mode) 顯示作用中/熱待命 (Active/Hot-Standby),指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。
    主要 VPN 閘道 (Primary VPN Gateway)
    公用 IP (Public IP) 顯示主要 VPN 閘道的 IP 位址。
    PSK 預先共用的金鑰 (PSK) 是在通道間進行驗證時所使用的安全性金鑰。依預設,SASE Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,請在文字方塊中輸入。
    加密 (Encryption) 選取 AES -128AES -256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES-128
    DH 群組 (DH Group) 從下拉式功能表中選取 Diffie-Hellman (DH) 群組演算法。此演算法用來產生設定金鑰資料。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2514。預設值為 2
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為已停用 (deactivated)25。預設值為 2
    驗證演算法 (Authentication Algorithm)

    選取 VPN 標頭的驗證演算法。從下拉式功能表中,選取其中一個支援的安全雜湊演算法 (SHA) 功能:

    • SHA 1
    • SHA256
    • SHA384
    • SHA512

    預設值為 SHA 1
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 SD-WAN Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。
    DPD 類型 (DPD Type) 無作用對等偵測 (DPD) 方法用於偵測網際網路金鑰交換 (IKE) 對等是否處於作用中或無作用狀態。如果偵測到對等為無作用,則裝置會刪除 IPsec 和 IKE 安全性關聯。從下拉式功能表中選取定期 (Periodic)onDemand。預設值為 onDemand
    DPD 逾時 (秒) (DPD Timeout(sec)) 輸入 DPD 逾時值。DPD 逾時值會新增到內部 DPD 計時器中,如下所述。將對等視為無作用 (無作用對等偵測) 之前,請等待接收 DPD 訊息的回應。
    在 5.1.0 版本之前,預設值為 20 秒。若為 5.1.0 及更新版本,請參閱下表以取得預設值。
    • 程式庫名稱:Quicksec
    • 探查間隔:指數 (0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
    • 預設最小 DPD 間隔:47.5 秒 (QuickSec 在上次重試後會等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
    • 預設最小 DPD 間隔 + DPD 逾時 (秒):67.5 秒
    備註: 在 5.1.0 版本之前,您可以將 DPD 逾時計時器設定為 0 秒,以停用 DPD。但是,若是 5.1.0 及更新版本,則無法藉由將 DPD 逾時計時器設定為 0 秒來停用 DPD。DPD 逾時值 (以秒為單位) 將新增至預設的最小值 (47.5 秒)。
    備援 VMware Cloud VPN (Redundant VMware Cloud VPN) 選取此核取方塊,可為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的加密 (Encryption)DH 群組 (DH Group)PFS 所做的任何變更,也會套用至備援 VPN 通道 (如果已設定)。
    次要 VPN 閘道 (Secondary VPN Gateway) 按一下新增 (Add) 按鈕,然後輸入次要 VPN 閘道的 IP 位址。按一下儲存變更 (Save Changes)

    系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。
    本機驗證識別碼 (Local Auth Id) 本機驗證識別碼會定義本機閘道的格式和識別。從下拉式功能表中,從下列下類型中挑選,然後輸入一值:
    • FQDN - 完整網域名稱或主機名稱。例如:vmware.com
    • 使用者 FQDN (User FQDN) - 電子郵件地址形式的使用者完整網域名稱。例如:[email protected]
    • IPv4 - 用來與本機閘道進行通訊的 IP 位址。
    • IPv6 - 用來與本機閘道進行通訊的 IP 位址。
    備註:
    • 若未指定任何值,則會使用預設值 (Default) 作為本機驗證識別碼。
    • 預設的本機驗證識別碼值是 SD-WAN 閘道介面公用 IP。
    範例 IKE/IPSec 按一下以檢視設定非 SD-WAN 目的地閘道所需的資訊。閘道管理員應使用這項資訊來設定閘道 VPN 通道。
    位置 (Location) 按一下編輯 (Edit),可為所設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
    站台子網路 (Site Subnets) 使用切換按鈕,啟用或停用站台子網路 (Site Subnets)。按一下新增 (Add),可為非 SD-WAN 目的地新增子網路。如果您不需要站台的子網路,請選取子網路,然後按一下刪除 (Delete)
    備註:
    • 若要支援資料中心類型的非 SD-WAN 目的地 (IPSec 連線除外),您必須在 VMware 系統中設定非 SD-WAN 目的地本機子網路。
    • 如果未設定站台子網路,請停用站台子網路 (Site Subnets) 以啟用通道。
    備註: 當 AWS 使用 VMware SD-WAN 閘道 (在非 SD-WAN 目的地) 起始重設金鑰通道時,可能會發生故障且不會建立通道,這可能會導致流量中斷。在這種情況下,請遵循下列事項:
    • SD-WAN 閘道的 IPSec SA 存留時間 (分鐘) 計時器組態必須小於 60 分鐘 (建議值 = 50 分鐘),以符合 AWS 預設 IPSec 組態。
    • DH 群組 (DH Group)PFS 值必須相符。
  3. 按一下儲存變更 (Save Changes)