請按照以下步驟,在 SASE Orchestrator 中設定 Cisco ISR 類型的非 SD-WAN 目的地。
程序
- 建立 Cisco ISR 類型的非 SD-WAN 目的地組態之後,您會被重新導向至其他組態選項頁面:
- 您可以設定下列通道設定:
選項 說明 一般 名稱 (Name) 您可以編輯先前針對非 SD-WAN 目的地所輸入的名稱。 類型 (Type) 將類型顯示為 Cisco ISR。您無法編輯此選項。 通道模式 (Tunnel Mode) 作用中/熱待命 (Active/Hot-Standby) 模式支援最多設定 2 個通道端點或閘道。 作用中/作用中 (Active/Active) 模式支援最多設定 4 個通道端點或閘道。所有作用中通道都可以透過 ECMP 傳送和接收流量。 ECMP 負載共用方法 以流量負載為基礎 (Flow Load Based) (預設):以流量負載為基礎的演算法會將新流量對應至在目的地可用路徑中對應流量最少的路徑。 以雜湊負載為基礎 (Hash Load Based) 演算法會從 5 元組 (SrcIP、DestIP、SrcPort、DestPort、Protocol) 取得輸入參數。根據使用者組態,這些輸入可以是這個元組的任何一項、全部或任何子集。會根據具有所選輸入的雜湊值,將流量對應至路徑。 VPN 閘道 1 輸入有效的 IP 位址。 VPN 閘道 2 輸入有效的 IP 位址。這是選用欄位。 VPN 閘道 3 輸入有效的 IP 位址。這是選用欄位。 VPN 閘道 4 輸入有效的 IP 位址。這是選用欄位。 公用 IP (Public IP) 顯示主要 VPN 閘道的 IP 位址。 PSK 預先共用的金鑰 (PSK) 是在通道間進行驗證時所使用的安全性金鑰。依預設,SASE Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,請在文字方塊中輸入。 加密 (Encryption) 選取 AES -128 或 AES -256 作為加密資料的 AES 演算法金鑰大小。預設值為 AES-128。 DH 群組 (DH Group) 從下拉式功能表中選取 Diffie-Hellman (DH) 群組演算法。此演算法用來產生設定金鑰資料。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5 和 14。預設值為 2。 PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為已停用 (deactivated)、2 和 5。預設值是已停用 (deactivated)。 備援 VMware Cloud VPN (Redundant VMware Cloud VPN) 選取此核取方塊,可為每個 VPN 閘道新增備援通道。對主要 VPN 閘道的加密 (Encryption)、DH 群組 (DH Group) 或 PFS 所做的任何變更,也會套用至備援 VPN 通道 (如果已設定)。 次要 VPN 閘道 (Secondary VPN Gateway) 按一下新增 (Add) 按鈕,然後輸入次要 VPN 閘道的 IP 位址。按一下儲存變更 (Save Changes)。 系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。
範例 IKE/IPSec 按一下以檢視設定非 SD-WAN 目的地閘道所需的資訊。閘道管理員應使用這項資訊來設定閘道 VPN 通道。 位置 (Location) 按一下編輯 (Edit),可為所設定的非 SD-WAN 目的地設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。 站台子網路 (Site Subnets) 使用切換按鈕,啟用或停用站台子網路 (Site Subnets)。按一下新增 (Add),可為非 SD-WAN 目的地新增子網路。如果您不需要站台的子網路,請選取子網路,然後按一下刪除 (Delete)。 備註: 若要支援資料中心類型的 非 SD-WAN 目的地 (IPSec 連線除外),您必須在 VMware 系統中設定 非 SD-WAN 目的地本機子網路。備註:依預設,針對 Cisco ISR 非 SD-WAN 目的地使用的本機驗證識別碼值為 SD-WAN 閘道介面本機 IP。
- 按一下儲存變更 (Save Changes)。