在 Check Point 的 Infinity Portal 中创建站点后,请在 SD-WAN Orchestrator 上将 Check Point 配置为 Non VMware SD-WAN Site。
在 Check Point 的 Infinity Portal 上创建站点后,请完成以下步骤:
过程
- 从 SD-WAN Orchestrator 中,转到配置 (Configure) > 网络服务 (Network Services)。
- 在非 VeloCloud 站点 (Non-VeloCloud Sites) 区域中,单击新建 (New) 按钮。
将显示
新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框。
- 在新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框中,完成以下子步骤:
- 输入站点的名称。
- 从类型 (Type) 下拉菜单中选择“Check Point”。
- 键入主 VPN 网关(如果需要,还要键入辅助 VPN 网关)。
- 单击下一步 (Next)。
将显示
Non VMware SD-WAN Site 的对话框。(下图)。
注: 要将隧道设置配置为
Non VMware SD-WAN Site 的主 VPN 网关,请单击位于对话框底部的“高级”(Advanced) 按钮。对“加密”(Encryption)、“DH 组”(DH Group) 或“PFS”所做的任何更改也将应用于冗余隧道配置。保存更改后,将更新站点的主 VPN 网关设备。单击“查看 IKE/IPSec 模板”(View IKE/IPSec Template) 按钮可查看详细信息。
- 在“主 VPN 网关”(Primary VPN Gateway) 区域中,输入以下内容:
- PSK:输入在 Check Point Infinity Portal 上配置的预共享密钥。请勿配置冗余 IPsec 隧道(保持取消选中冗余 VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) 复选框)。
- 加密 (Encryption):应将“加密”(Encryption) 设置为在 Check Point Infinity Portal 上配置的相同算法。
- DH 组 (DH Group):应将“DH 组”(DH Group) 设置为在 Check Point Infinity Portal 上配置的相同值。
- 出于此特定 Check Point 配置目的,请从“PFS”下拉菜单中选择已禁用 (disabled)。
- 要添加辅助 VPN 网关,请单击添加 (Add) 按钮。单击保存更改 (Save Changes) 按钮将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
注:
对于 Checkpoint Non VMware SD-WAN Site,默认情况下,使用的本地身份验证 ID 值为 SD-WAN Gateway 接口公用 IP。
- 如上述步骤 4a 中所述,请保持取消选中冗余 VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) 复选框。
- 出于 Check Point 配置目的,请从“本地身份验证 ID”(Local Auth Id) 下拉菜单中选择默认 (Default)。
- 出于 Check Point 配置目的,请选中禁用站点子网 (Disable Site Subnets) 复选框。
- 单击保存更改 (Save Changes)。
- 在准备好启动从 SD-WAN Gateway 到 Check Point CloudGuard VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
