Configure um destino não-SD-WAN via gateway no SD-WAN Orchestrator para estabelecer um túnel IPSec seguro para o portal do Netskope através do SD-WAN Gateway.

Para configurar um destino não-SD-WAN via gateway:

Pré-requisitos

Certifique-se de que já configurou um túnel IPsec no portal NG SWG do Netskope. Consulte Configurar as credenciais VPN no portal Netskope.

Procedimento

  1. Inicie sessão no SD-WAN Orchestrator e verifique se as instâncias dos clientes são criadas e os Edges estão online.
  2. Clique na ligação para um nome de cliente para navegar para o portal da empresa.
  3. No portal da empresa, clique em Configurar > Serviços de rede (Configure > Network Services).
  4. No painel Destinos não-SD-WAN via gateway (Non SD-WAN Destinations via Gateway), clique em Novo (New) para criar um novo destino não-SD-WAN.
  5. Na janela Novo destino não-SD-WAN via gateway (New Non SD-WAN Destination via Gateway), configure o seguinte:
    Opção Descrição
    Nome (Name) Introduza um nome descritivo para o destino não-SD-WAN.
    Tipo (Type) Selecione o tipo como Router IKEv2 genérico (VPN baseada em rota) [Generic IKEv2 Router (Route Based VPN)].
    Gateway VPN Principal (Primary VPN Gateway) Introduza o endereço IP do POP principal utilizado para configurar o túnel VPN no portal do Netskope.
    Gateway VPN secundário (Secondary VPN Gateway) Introduza o endereço IP do POP secundário utilizado para configurar o túnel VPN no portal do Netskope.
    Clique em Seguinte (Next).
  6. Na janela seguinte, configure as seguintes definições:
    São apresentados o Nome (Name) e Tipo (Type) do destino não-SD-WAN. Selecione a caixa de verificação Ativar Túnel(eis) [Enable Tunnel(s)] para ativar o túnel.
    Clique em Avançado (Advanced) para configurar os outros parâmetros do túnel IPsec para os gateways VPN principal e secundário da seguinte forma:
    Opção Descrição
    Encriptação (Encryption) Selecione a chave dos algoritmos AES da lista pendente, para encriptar dados. Se não pretender encriptar os dados, selecione Nulo (Null). O valor predefinido é AES 128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar a chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15 e 16. Recomenda-se a utilização do grupo DH 14.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. O valor predefinido é desativado (deactivated).
    Hash Selecione o algoritmo de autenticação para o cabeçalho VPN na lista pendente. Estão disponíveis as seguintes opções do algoritmo hash seguro (SHA):
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    O valor predefinido é SHA 256.

    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Introduza o tempo de vida IKE SA em minutos. A recodificação deve ser iniciada para os Edges antes de o tempo expirar. O intervalo é de 10 a 1440 minutos. O valor predefinido é 1440 minutos.
    Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Introduza o tempo de vida IPsec SA em minutos. A recodificação deve ser iniciada para os Edges antes de o tempo expirar. O intervalo é de 3 a 480 minutos. O valor predefinido é 480 minutos.
    Temporizador de tempo limite DPD (seg) [DPD Timeout Timer(sec)] Introduza o tempo máximo que o dispositivo deve aguardar para receber uma resposta à mensagem DPD antes de considerar o par como morto. O valor predefinido é 20 segundos. Pode desativar o DPD configurando o temporizador de tempo limite DPD como Zero (0).
    VPN de nuvem VeloCloud redundante (Redundant VeloCloud Cloud VPN) – Selecione a caixa de verificação para estabelecer os túneis IPSEC no SD-WAN Gateways principal e secundário.
    Sub-redes do site (Site Subnets) – Adicione sub-redes para o Destino Não-SD-WAN utilizando o ícone de mais ( +). Se não necessitar de sub-redes para o site, selecione a caixa de verificação Desativar sub-redes do site (Deactivate Site Subnets).
    ID de autenticação local (Local Auth Id) Selecione o ID de autenticação local na lista pendente, para definir o formato e a identificação do gateway local. As seguintes opções estão disponíveis:
    • Predefinição (Default) – Por predefinição, o endereço IP público da interface do SD-WAN Gateway é utilizado como ID de autenticação local.
    • FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo, google.com.
    • Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, utilizador@google.com.
    • IPv4 – O endereço IP utilizado para comunicar com o gateway local.
    Clique em Guardar alterações (Save Changes) e feche a janela.

Resultados

O novo destino não-SD-WAN via gateway é apresentado na janela Serviços de rede (Network Services):

O que Fazer Depois

Configure o perfil para utilizar o novo destino não-SD-WAN via gateway. Consulte Configurar o perfil com destino não-SD-WAN via gateway.