您可以将 非 SD-WAN 目标实例定义和配置为 Forcepoint Cloud Security Gateway,并通过 VMware SD-WAN 网关建立到 Forcepoint Cloud Security Gateway 的安全 IPSec 隧道。

要配置通过网关的非 SD-WAN 目标,请执行以下操作:

前提条件

确保您具有管理员特权以登录到 VMware SD-WAN Orchestrator

过程

  1. 登录到 SD-WAN Orchestrator 并导航到管理客户 (Manage Customers)
  2. 单击将流量路由到 Forcepoint Cloud Security Gateway 的客户的链接。
  3. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  4. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 窗格中,单击新建 (New) 以创建新的非 SD-WAN 目标。
  5. 新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destination via Gateway) 窗口中,配置以下设置:
    选项 描述
    名称 (Name) 为非 SD-WAN 目标输入描述性名称。
    类型 (Type) 选择通用 IKEv2 路由器 (基于路由的 VPN) (Generic IKEv2 Router (Route Based VPN)) 以作为类型。
    主 VPN 网关 (Primary VPN Gateway) 输入 Forcepoint Cloud Security Gateway Edge 设备配置中的第一个数据中心 IP 地址。
    辅助 VPN 网关 (Secondary VPN Gateway) 输入 Forcepoint Cloud Security Gateway Edge 设备配置中的第二个数据中心 IP 地址。
    单击 下一步 (Next)
  6. 在下一个窗口中,配置以下设置:
    将显示非 SD-WAN 目标的 名称 (Name)类型 (Type)。选中 启用隧道 (Enable Tunnel(s)) 复选框以启用隧道。
    单击 高级 (Advanced),以便为主要和辅助 VPN 网关配置其他 IPsec 隧道参数,如下所示:
    选项 描述
    PSK 输入用于在 Forcepoint Cloud Security Gateway 中配置 Edge 设备的预共享密钥。
    冗余隧道 PSK (Redundant Tunnel PSK) 重复输入预共享密钥。
    加密 (Encryption) 从下拉列表中选择 AES-256 作为 AES 算法密钥以加密数据。
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。
    PFS 为完美前向保密 (Perfect Forward Secrecy, PFS) 级别选择已停用 (deactivated)
    哈希 (Hash) 从下拉列表中选择 SHA 256 以作为 VPN 标头的身份验证算法。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 输入 IKE SA 生命周期(以分钟为单位)。在该时间到期之前,应为 Edge 启动重新加密。范围是 10 到 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 输入 IPsec SA 生命周期(以分钟为单位)。在该时间到期之前,应为 Edge 启动重新加密。范围是 3 到 480 分钟。默认值为 480 分钟。
    DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) 输入在将对等体视为不活动之前设备应等待接收 DPD 消息响应的最长时间。默认值为 20 秒。您可以将 DPD 超时定时器配置为零 (0) 以停用 DPD。
    冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) - 选中该复选框以从主要和辅助网关建立 IPsec 隧道。
    站点子网 (Site Subnets) - 使用加号 ( +) 图标为 非 SD-WAN 目标 添加子网。如果您不需要使用站点的子网,请选中 停用站点子网 (Deactivate Site Subnets) 复选框。

    本地身份验证 ID (Local Auth Id) - 从下拉列表中选择 FQDN 以作为本地身份验证 ID,并输入在 Forcepoint Cloud Security Gateway 中配置 Edge 设备时使用的 DNS 名称。

    单击 保存更改 (Save Changes) 并关闭该窗口。

结果

将在网络服务 (Network Services) 窗口中显示新的通过网关的非 SD-WAN 目标:

下一步做什么

设置配置文件以使用新的通过网关的非 SD-WAN 目标。请参阅为通过网关的非 SD-WAN 目标设置配置文件