您可以将 非 SD-WAN 目标实例定义和配置为 Forcepoint Cloud Security Gateway,并通过 VMware SD-WAN Edge建立到 Forcepoint Cloud Security Gateway 的安全 IPSec 隧道。

要配置通过 Edge 的非 SD-WAN 目标,请执行以下操作:

前提条件

确保您具有管理员特权以登录到 VMware SD-WAN Orchestrator

过程

  1. 登录到 SD-WAN Orchestrator 并导航到管理客户 (Manage Customers)
  2. 单击将流量路由到 Forcepoint Cloud Security Gateway 的客户的链接。
  3. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  4. 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 窗格中,单击新建 (New) 以创建新的非 SD-WAN 目标。
  5. 新建通过 Edge 的非 SD-WAN 目标 (New Non SD-WAN Destination via Edge) 窗口中,配置以下设置:
    选项 描述
    服务名称 (Service Name) 为非 SD-WAN 目标输入描述性名称。
    服务类型 (Service Type) 选择通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 以作为类型。
    单击 下一步 (Next)
  6. 在下一个窗口中,配置以下设置:
    单击 高级 (Advanced),以便为主要和辅助 VPN 网关配置其他 IPsec 隧道参数,如下所示:
    选项 描述
    加密 (Encryption) 从下拉列表中选择 AES-256 作为 AES 算法密钥以加密数据。
    DH 组 (DH Group) 选择 14 以作为 Diffie-Hellman (DH) 组算法,将在交换预共享密钥时使用该算法。DH 组设置算法强度(以位为单位)。
    PFS 为完美前向保密 (Perfect Forward Secrecy, PFS) 级别选择已禁用 (disabled)
    哈希 (Hash) 从下拉列表中选择 SHA 256 以作为 VPN 标头的身份验证算法。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 输入 IKE SA 生命周期(以分钟为单位)。在该时间到期之前,应为 Edge 启动重新加密。范围是 10 到 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 输入 IPsec SA 生命周期(以分钟为单位)。在该时间到期之前,应为 Edge 启动重新加密。范围是 3 到 480 分钟。默认值为 480 分钟。
    DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) 输入在将对等项视为不活动之前设备应等待接收 DPD 消息响应的最长时间。默认值为 20 秒。您可以将 DPD 超时定时器配置为零 (0) 以禁用 DPD。
    对于辅助 VPN 网关,选中 隧道设置与主 VPN 网关相同 (Tunnel settings are same as Primary VPN) 复选框以配置与主 VPN 网关类似的隧道设置。将为 Edge 设置 2 条隧道。
    选择其他设置的默认值。
    单击 保存更改 (Save Changes) 并关闭该窗口。

结果

将在网络服务 (Network Services) 窗口中显示新的通过 Edge 的非 SD-WAN 目标:

后续步骤

配置配置文件以使用新的通过 Edge 的非 SD-WAN 目标。请参阅为通过 Edge 的非 SD-WAN 目标配置配置文件