Konfigurujte jiný cíl jiný než SD-WAN prostřednictvím brány v SD-WAN Orchestrator, abyste vytvořili zabezpečený tunel IPSec na portál Netskope přes SD-WAN Gateway.

Konfigurace cíle jiného než SD-WAN prostřednictvím brány:

Požadavky

Ujistěte se, že jste již nakonfigurovali tunel IPsec v portálu Netskope NG SWG. Viz téma Konfigurace přihlašovacích údajů VPN na portálu Netskope.

Procedura

  1. Přihlaste se k SD-WAN Orchestrator a ujistěte se, že jsou vytvořeny instance zákazníků, a že jsou Edge on-line.
  2. Klikněte na odkaz na jméno zákazníka a přejděte na podnikový portál.
  3. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
  4. V podokně Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na možnost Nový (New) a vytvořte nový cíl jiný než SD-WAN.
  5. V okně Nový cíl jiný než SD-WAN prostřednictvím brány (New Non SD-WAN Destination via Gateway) nastavte následující:
    Možnost Popis
    Název (Name) Zadejte pro cíl jiný než SD-WAN popisný název.
    Typ (Type) Vyberte typ Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)).
    Brána primární VPN (Primary VPN Gateway) Zadejte IP adresu primárního bodu POP použitého k nastavení tunelu VPN v portálu Netskope.
    Sekundární brána VPN (Secondary VPN Gateway) Zadejte IP adresu sekundárního bodu POP použitého k nastavení tunelu VPN v portálu Netskope.
    Klikněte na tlačítko Další (Next).
  6. V dalším okně proveďte následující nastavení:
    Zobrazí se hodnoty Název (Name) a Typ (Type) cíle jiného typu než SD-WAN. Chcete-li tunel aktivovat, zaškrtněte políčko Aktivovat tunel(y) (Enable Tunnel(s)).
    Klikněte na možnost Rozšířené (Advanced) a nakonfigurujte další parametry tunelu IPsec pro brány primární a sekundární VPN následujícím způsobem:
    Možnost Popis
    Šifrování (Encryption) Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Pokud data nechcete šifrovat, vyberte možnost Null. Výchozí hodnota je AES 128.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který se použije při výměně předem sdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5, 14, 15 a 16. Doporučuje se používat DH skupinu 14.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Výchozí hodnotou je Deaktivováno (Disabled).
    Hash Z rozevíracího seznamu vyberte algoritmus autentizace pro hlavičku VPN. K dispozici jsou následující možnosti SHA (Secure Hash Algorithm):
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Výchozí hodnota je SHA 256.

    Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Zadejte v minutách dobu životnosti IKE SA. Opětovné vytvoření klíčů by mělo být pro zařízení Edge zahájeno před vypršením časového limitu. Rozsah je 10–1 440 minut Výchozí hodnota je 1440 minut.
    Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Zadejte v minutách dobu životnosti IPsec SA. Opětovné vytvoření klíčů by mělo být pro zařízení Edge zahájeno před vypršením časového limitu. Rozsah je 3–480 minut. Výchozí hodnota je 480 minut.
    Časovač vypršení DPD (s) (DPD Timeout Timer(sec)) Zadejte maximální dobu čekání zařízení na příjem odpovědi na zprávu DPD, než vyhodnotí, že je partnerské zařízení nedostupné. Výchozí hodnota je 20 sekund. Metodu DPD můžete deaktivovat nastavením hodnoty nula (0) pro časovač limitu DPD.
    Redundantní VPN pro VeloCloud Cloud (Redundant VeloCloud Cloud VPN) – toto políčko zaškrtněte, chcete-li vytvořit tunely IPSEC z primárních a sekundárních SD-WAN Gateways.
    Podsítě lokality (Site Subnets) – pomocí ikony plus Non VMware SD-WAN Site přidejte podsítě pro položku ( +). Pokud pro lokalitu nepotřebujete podsítě, zaškrtněte pole Deaktivovat podsítě lokality (Disable Site Subnets).
    ID lokální autentizace (Local Auth Id) vyberte ID lokální autentizace z rozevíracího seznamu, abyste definovali formát a identifikaci místní brány. K dispozici jsou následující možnosti:
    • Výchozí (Default) – ve výchozím nastavení se jako ID lokální autentizace používá veřejná IP adresa rozhraní SD-WAN Gateway.
    • FQDN – plně kvalifikovaný název domény nebo hostitele. Například google.com.
    • FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Například user@google.com.
    • IPv4 – IP adresa používaná pro komunikaci s místní bránou.
    Klikněte na tlačítko Uložit změny (Save Changes) a okno zavřete.

Výsledek

V okně Síťové služby se zobrazí nový cíl jiný než SD-WAN prostřednictvím brány:

Jak pokračovat dále

Konfigurujte profil pro použití nového cíle jiného než SD-WAN prostřednictvím brány. Viz téma Konfigurace profilu pomocí cíle jiného než SD-WAN prostřednictvím brány.