SD-WAN Orchestrator 中配置通过网关的非 SD-WAN 目标,以通过 SD-WAN Gateway建立到 Netskope 门户的安全 IPsec 隧道。

要配置通过网关的非 SD-WAN 目标,请执行以下操作:

前提条件

确保您已在 Netskope NG SWG 门户中配置 IPsec 隧道。请参阅在 Netskope 门户上配置 VPN 凭据

过程

  1. 登录到 SD-WAN Orchestrator,然后确认已创建客户实例并且 Edge 处于联机状态。
  2. 单击客户名称的链接以导航到企业门户。
  3. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  4. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 窗格中,单击新建 (New) 以创建新的非 SD-WAN 目标。
  5. 新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destination via Gateway) 窗口中,配置以下设置:
    选项 描述
    名称 (Name) 为非 SD-WAN 目标输入描述性名称。
    类型 (Type) 选择通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 以作为类型。
    主 VPN 网关 (Primary VPN Gateway) 输入用于在 Netskope 门户中设置 VPN 隧道的主 POP 的 IP 地址。
    辅助 VPN 网关 (Secondary VPN Gateway) 输入用于在 Netskope 门户中设置 VPN 隧道的辅助 POP 的 IP 地址。
    单击 下一步 (Next)
  6. 在下一个窗口中,配置以下设置:
    将显示非 SD-WAN 目标的 名称 (Name)类型 (Type)。选中 启用隧道 (Enable Tunnel(s)) 复选框以启用隧道。
    单击 高级 (Advanced),以便为主要和辅助 VPN 网关配置其他 IPsec 隧道参数,如下所示:
    选项 描述
    加密 (Encryption) 从下拉列表中选择 AES 算法密钥以加密数据。如果不希望对数据进行加密,请选择空 (Null)。默认值为 AES 128。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认值为“已禁用”(Disabled)。
    哈希 (Hash) 从下拉列表中选择 VPN 标头的身份验证算法。可以使用以下安全哈希算法 (Secure Hash Algorithm, SHA) 选项:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    默认值为 SHA 256。

    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 输入 IKE SA 生命周期(以分钟为单位)。在该时间到期之前,应为 Edge 启动重新加密。范围是 10 到 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 输入 IPsec SA 生命周期(以分钟为单位)。在该时间到期之前,应为 Edge 启动重新加密。范围是 3 到 480 分钟。默认值为 480 分钟。
    DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) 输入在将对等项视为不活动之前设备应等待接收 DPD 消息响应的最长时间。默认值为 20 秒。您可以将 DPD 超时定时器配置为零 (0) 以禁用 DPD。
    冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) - 选中该复选框以从主要和辅助 SD-WAN Gateway 建立 IPsec 隧道。
    站点子网 (Site Subnets) - 使用加号 ( +) 图标为 非 SD-WAN 目标 添加子网。如果您不需要站点的子网,请选中 禁用站点子网 (Disable Site Subnets) 复选框。
    本地身份验证 ID (Local Auth Id) - 从下拉列表中选择本地身份验证 ID 以定义本地网关的格式和标识。可以使用以下选项:
    • 默认 (Default) - 默认情况下,SD-WAN Gateway的接口公用 IP 地址用作本地身份验证 ID。
    • FQDN - 完全限定域名或主机名。例如,google.com。
    • 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,user@google.com。
    • IPv4 - 用于与本地网关通信的 IP 地址。
    单击 保存更改 (Save Changes) 并关闭该窗口。

结果

将在网络服务 (Network Services) 窗口中显示新的通过网关的非 SD-WAN 目标:

后续步骤

配置配置文件以使用新的通过网关的非 SD-WAN 目标。请参阅为通过网关的非 SD-WAN 目标配置配置文件