在 Check Point 的 Infinity Portal 中创建站点后,请在 SD-WAN Orchestrator 上将 Check Point 配置为 Non VMware SD-WAN Site

在 Check Point 的 Infinity Portal 上创建站点后,请完成以下步骤:

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 网络服务 (Network Services)
  2. 非 VeloCloud 站点 (Non-VeloCloud Sites) 区域中,单击新建 (New) 按钮。
    将显示 新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框。

  3. 新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框中,完成以下子步骤:
    1. 输入站点的名称。
    2. 类型 (Type) 下拉菜单中选择“Check Point”。
    3. 键入主 VPN 网关(如果需要,还要键入辅助 VPN 网关)。
    4. 单击下一步 (Next)
      将显示 Non VMware SD-WAN Site 的对话框。(下图)。

      注: 要将隧道设置配置为 Non VMware SD-WAN Site 的主 VPN 网关,请单击位于对话框底部的“高级”(Advanced) 按钮。对“加密”(Encryption)、“DH 组”(DH Group) 或“PFS”所做的任何更改也将应用于冗余隧道配置。保存更改后,将更新站点的主 VPN 网关设备。单击“查看 IKE/IPSec 模板”(View IKE/IPSec Template) 按钮可查看详细信息。
  4. 在“主 VPN 网关”(Primary VPN Gateway) 区域中,输入以下内容:
    1. PSK:输入在 Check Point Infinity Portal 上配置的预共享密钥。请勿配置冗余 IPsec 隧道(保持取消选中冗余 VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) 复选框)。
    2. 加密 (Encryption):应将“加密”(Encryption) 设置为在 Check Point Infinity Portal 上配置的相同算法。
    3. DH 组 (DH Group):应将“DH 组”(DH Group) 设置为在 Check Point Infinity Portal 上配置的相同值。
    4. 出于此特定 Check Point 配置目的,请从“PFS”下拉菜单中选择已禁用 (disabled)
  5. 要添加辅助 VPN 网关,请单击添加 (Add) 按钮。单击保存更改 (Save Changes) 按钮将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
    注:

    对于 Checkpoint Non VMware SD-WAN Site,默认情况下,使用的本地身份验证 ID 值为 SD-WAN Gateway 接口公用 IP。

  6. 如上述步骤 4a 中所述,请保持取消选中冗余 VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) 复选框。
  7. 出于 Check Point 配置目的,请从“本地身份验证 ID”(Local Auth Id) 下拉菜单中选择默认 (Default)
  8. 出于 Check Point 配置目的,请选中禁用站点子网 (Disable Site Subnets) 复选框。
  9. 单击保存更改 (Save Changes)
  10. 在准备好启动从 SD-WAN Gateway 到 Check Point CloudGuard VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。