SD-WAN 网关使用 IKEv1/IPsec 连接到 Check Point CloudGuard 服务。配置 Check Point 包含两个步骤:配置 Check Point CloudGuard 服务和配置 Check Point 类型的非 SD-WAN 目标。您必须在 Check Point Infinity Portal 上执行第一步,并在 SD-WAN Orchestrator 上执行第二步。

配置 Check Point CloudGuard 服务
  1. 通过以下链接登录 Check Point Infinity Portal:https://portal.checkpoint.com/
  2. 登录后,使用链接 https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html 在 Check Point Infinity Portal 上创建一个站点。
配置 Check Point 类型的非 SD-WAN 目标
  1. 创建 Check Point 类型的非 SD-WAN 目标配置后,您将被重定向到其他配置选项页面:
  2. 您可以配置以下隧道设置:
    选项 描述
    常规
    名称 (Name) 您可以编辑之前为 非 SD-WAN 目标 输入的名称。
    类型 类型显示为 Check Point。您无法编辑此选项。
    启用隧道 单击切换按钮以启动从 SD-WAN 网关到 Check Point VPN 网关的隧道。
    隧道模式 (Tunnel Mode) 显示活动/热备用 (Active/Hot-Standby),以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。
    主 VPN 网关 (Primary VPN Gateway)
    公用 IP 显示主 VPN 网关的 IP 地址。
    PSK 预共享密钥 (Pre-Shared Key, PSK) 是在隧道中进行身份验证时使用的安全密钥。默认情况下,SD-WAN Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。
    加密 (Encryption) 选择 AES-128AES-256 作为数据加密的 AES 算法密钥大小。默认值为 AES-128
    DH 组 (DH Group) 从下拉菜单中选择“Diffie-Hellman (DH) 组”(Diffie-Hellman (DH) Group) 算法。此算法用于生成加密资料。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2514。默认值为 2
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为已停用 (deactivated)25。默认值为 2
    冗余 VMware Cloud VPN 选中该复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密 (Encryption)DH 组 (DH Group)PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。
    辅助 VPN 网关 (Secondary VPN Gateway) 单击添加 (Add) 按钮,然后输入辅助 VPN 网关的 IP 地址。单击保存更改 (Save Changes)

    将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
    本地身份验证 ID 本地身份验证 ID 定义本地网关的格式和标识。从下拉菜单中,从以下类型中进行选择,然后输入一个值:
    • FQDN - 完全限定域名或主机名。例如:vmware.com
    • 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如:[email protected]
    • IPv4 - 用于与本地网关通信的 IP 地址。
    • IPv6 - 用于与本地网关通信的 IP 地址。
    注:
    • 如果未指定值,则将默认 (Default) 作为本地身份验证 ID。
    • 对于 Check Point 非 SD-WAN 目标,使用的默认本地身份验证 ID 值为 SD-WAN 网关接口公用 IP。
    IKE/IPsec 示例 (Sample IKE / IPsec) 单击以查看配置非 SD-WAN 目标网关所需的信息。网关管理员应使用该信息配置网关 VPN 隧道。
    位置 单击编辑 (Edit) 可为配置的非 SD-WAN 目标设置位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
    站点子网 使用切换按钮激活或停用站点子网 (Site Subnets)。单击添加 (Add) 可为非 SD-WAN 目标添加子网。如果您不需要使用站点的子网,请选择相应子网,然后单击删除 (Delete)
    注: 要支持数据中心类型的 非 SD-WAN 目标,除了 IPsec 连接以外,您还必须在 VMware 系统中配置 非 SD-WAN 目标本地子网。
  3. 单击保存更改 (Save Changes)

前提条件

您必须具有有效的 Check Point 帐户和登录凭据才能访问 Check Point 的 Infinity Portal。