在配置安全服务边缘 (Security Service Edge, SSE) 自动化之前,您必须先配置 IKEIPsec 配置文件以供 SSE 自动化使用。这是启动从 Edge 到 Prisma Cloud 的隧道所必需的。这是一次性手动配置,必须在 Palo Alto Networks Strata Cloud Manager 门户中执行。

按照以下步骤配置 IKEIPsec 配置文件:
注: 此过程仅供参考。

前提条件

Palo Alto Networks Strata Cloud Manager 门户中没有用来配置 IKEIPsec 配置文件的专用位置。因此,必须在远程网络 (Remote Networks) 配置部分中完成此配置。

输入 IKEIPsec 配置文件的值时,请参考以下模板:
  • AES 128 CBC
  • DH 组 14(IKE 加密配置文件)
  • PFS 已停用(IPsec 加密配置文件 - DH 组)
  • SHA 256
  • IKE SA 生命周期 1440 分钟
  • IPsec SA 生命周期 480 分钟

过程

  1. 登录到 Palo Alto Networks Strata Cloud Manager 门户。
    将显示以下屏幕:
  2. 导航到工作流 (Workflows) > Prisma Access 设置 (Prisma Access Setup) > 远程网络 (Remote Networks),如上面的屏幕截图中所示。
    此时将显示 远程网络设置 (Remote Networks Setup) 屏幕。
  3. 单击远程网络设置 (Remote Networks Setup) 屏幕右上角的添加远程网络 (Add Remote Networks)
  4. 添加远程网络 (Add Remote Networks) 屏幕中,忽略必填字段,并直接转到 IKEIPsec 配置文件配置,方法是单击主隧道 (Primary Tunnel) 部分中的设置 (Set Up),如下所示:
  5. 创建 IPsec 隧道 (Create IPsec Tunnel) 屏幕中,单击新建 (Create New)
  6. 忽略所有必填字段,然后向下滚动到此屏幕底部。单击 IKE 高级选项 (IKE Advanced Options)
  7. IKE 高级选项 (IKE Advanced Options) 屏幕上,单击新建 (Create New)
    注: 忽略所有预配置的选项。您必须创建新的 IKE 配置文件以用于 VMware SSE 自动化。
  8. 单击新建 (Create New) 后,将显示以下屏幕:
  9. 根据必备条件部分中提供的模板输入各项值,然后单击保存 (Save)
  10. IKE 高级选项 (IKE Advanced Options) 屏幕上单击保存 (Save),以保存该 IKE 配置文件。
    此步骤会使您返回到 创建 IPsec 隧道 (Create IPsec Tunnel) 屏幕。
  11. 创建 IPsec 隧道 (Create IPsec Tunnel) 屏幕上,单击 IPsec 高级选项 (IPsec Advanced Options),如下所示:
  12. IPsec 高级选项 (IPsec Advanced Options) 屏幕上,单击新建 (Create New)
    注: 忽略所有预配置的选项。您必须创建新的 IPsec 配置文件以用于 VMware SSE 自动化。
  13. 单击新建 (Create New) 后,将显示以下屏幕:
  14. 根据必备条件部分中提供的模板输入各项值,然后单击保存 (Save)
  15. IPsec 高级选项 (IPsec Advanced Options) 屏幕上单击保存 (Save),以保存该 IPsec 配置文件。

下一步做什么

现在,您可以前往 VMware Cloud Orchestrator 以配置安全服务边缘 (SSE) 并启动自动化。有关更多信息,请参阅安全服务边缘 (SSE)