這項服務可讓您建立 VPN 通道組態,以存取一或多個非 SD-WAN 目的地。VMware 提供建立通道所需的組態,包括建立 IKE IPSec 組態及產生預先共用的金鑰。
概觀
下圖說明在 VMware 和非 SD-WAN 目的地之間建立的 VPN 通道的概觀。
備註: 您必須在
非 SD-WAN 目的地 為主要 VPN 閘道指定 IP 位址。IP 位址會用來形成
SD-WAN 閘道 與主要 VPN 閘道之間的主要 VPN 通道。
或者,可以指定次要 VPN 閘道的 IP 位址,以形成 SD-WAN 閘道與次要 VPN 閘道之間的次要 VPN 通道。您可為您所建立的任何 VPN 通道指定備援 VPN 通道。
設定 AWS VPN 閘道類型的非 SD-WAN 目的地
建立
AWS VPN 閘道 (AWS VPN Gateway) 類型的
非 SD-WAN 目的地組態之後,您會被重新導向至其他組態選項頁面:
您可以設定下列通道設定,然後按一下
儲存變更 (Save Changes)。
| 選項 | 說明 |
|---|---|
| 一般 | |
| 名稱 (Name) | 您可以編輯先前針對非 SD-WAN 目的地所輸入的名稱。 |
| 類型 (Type) | 將類型顯示為 AWS VPN 閘道 (AWS VPN Gateway)。您無法編輯此選項。 |
| 啟用通道 (Enable Tunnels) | 按一下切換按鈕,可起始從 SD-WAN 閘道至 AWS VPN 閘道的通道。 |
| 通道模式 (Tunnel Mode) | 顯示作用中/熱待命 (Active/Hot-Standby),指示如果作用中通道關閉,待命 (熱待命) 通道即會接管而成為作用中通道。 |
| 主要 VPN 閘道 (Primary VPN Gateway) | |
| 公用 IP (Public IP) | 顯示主要 VPN 閘道的 IP 位址。 |
| PSK | 預先共用的金鑰 (PSK) 是在通道間進行驗證時所使用的安全性金鑰。依預設,SASE Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,請在文字方塊中輸入。 |
| 加密 (Encryption) | 選取 AES -128 或 AES -256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES-128。 |
| DH 群組 (DH Group) | 從下拉式功能表中選取 Diffie-Hellman (DH) 群組演算法。此演算法用來產生設定金鑰資料。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。預設值為 2。 |
| PFS | 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為已停用 (deactivated)、2 和 5。預設值為 2。 |
| 驗證演算法 (Authentication Algorithm) | 選取 VPN 標頭的驗證演算法。從下拉式功能表中,選取其中一個支援的安全雜湊演算法 (SHA) 功能:
預設值為 SHA 1。 |
| IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) | 針對 SD-WAN Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,上限為 1440 分鐘。預設值為 1440 分鐘。 |
| IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) | 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,上限為 480 分鐘。預設值為 480 分鐘。 |
| DPD 類型 (DPD Type) | 無作用對等偵測 (DPD) 方法用於偵測網際網路金鑰交換 (IKE) 對等是否處於作用中或無作用狀態。如果偵測到對等為無作用,則裝置會刪除 IPsec 和 IKE 安全性關聯。從下拉式功能表中選取定期 (Periodic) 或 onDemand。預設值為 onDemand。 |
| DPD 逾時 (秒) (DPD Timeout(sec)) | 輸入 DPD 逾時值。DPD 逾時值會新增到內部 DPD 計時器中,如下所述。將對等視為無作用 (無作用對等偵測) 之前,請等待接收 DPD 訊息的回應。
在 5.1.0 版本之前,預設值為 20 秒。若為 5.1.0 及更新版本,請參閱下表以取得預設值。
備註: 在 5.1.0 版本之前,您可以將 DPD 逾時計時器設定為 0 秒,以停用 DPD。但是,若是 5.1.0 及更新版本,則無法藉由將 DPD 逾時計時器設定為 0 秒來停用 DPD。DPD 逾時值 (以秒為單位) 將新增至預設的最小值 (47.5 秒)。
|
| 次要 VPN 閘道 (Secondary VPN Gateway) | 按一下新增 (Add) 按鈕,然後輸入次要 VPN 閘道的 IP 位址。按一下儲存變更 (Save Changes)。 系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。 |
| 備援 VMware Cloud VPN (Redundant VMware Cloud VPN) | 選取此核取方塊,可為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的加密 (Encryption)、DH 群組 (DH Group) 或 PFS 所做的任何變更,也會套用至備援 VPN 通道 (如果已設定)。 |
| 本機驗證識別碼 (Local Auth Id) | 本機驗證識別碼會定義本機閘道的格式和識別。從下拉式功能表中,從下列下類型中挑選,然後輸入一值:
備註: 若未指定任何值,則會使用
預設值 (Default) 作為本機驗證識別碼。
|
| 範例 IKE/IPSec | 按一下以檢視設定非 SD-WAN 目的地閘道所需的資訊。閘道管理員應使用這項資訊來設定閘道 VPN 通道。 |
| 位置 (Location) | 按一下編輯 (Edit),可為所設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。 |
| 站台子網路 (Site Subnets) | 使用切換按鈕,啟用或停用站台子網路 (Site Subnets)。按一下新增 (Add),可為非 SD-WAN 目的地新增子網路。如果您不需要站台的子網路,請選取子網路,然後按一下刪除 (Delete)。
備註:
|
