Brána SD-WAN Gateway se připojí ke službě Check Point CloudGuard pomocí IKEv1/IPsec. Konfigurace Check Point probíhá ve dvou krocích: konfigurace služby Check Point CloudGuard a konfigurace Cíl jiný než SD-WAN typu Check Point. První krok probíhá na portálu Check Point Infinity Portal a druhý v aplikaci SASE Orchestrator.
Konfigurace služby Check Point CloudGuard Connect (Configure the Check Point CloudGuard service)
- Přihlaste se do portálu Check Point Infinity Portal pomocí odkazu https://portal.checkpoint.com/.
- Po přihlášení vytvořte lokalitu na portálu Check Point Infinity Portal pomocí odkazu https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html.
Konfigurace cíle jiného než SD-WAN typu Check Point (Configure a Non SD-WAN Destination of type Check Point)
- Jakmile vytvoříte konfiguraci Cíl jiný než SD-WAN typu Check Point, budete přesměrováni na stránku s dalšími možnostmi konfigurace:
- Můžete konfigurovat následující nastavení tunelu:
Možnost Popis Obecné (General) Název (Name) Dříve zadaný název Cíl jiný než SD-WAN můžete upravit. Typ (Type) Zobrazuje typ jako Check Point. Tuto možnost nelze upravovat. Aktivovat tunelové propojení (Enable Tunnel(s)) Kliknutím na přepínací tlačítko spustíte tunelové propojení z Brána SD-WAN Gateway do brány Check Point VPN. Metoda sdílení zatížení ECMP Flow Load Based (Algoritmus založený na zatížení toku) (výchozí) mapuje nový tok na cestu s nejmenším počtem toků mapovaných mezi dostupnými cestami k cíli. Hash Load Based (Algoritmus založený na zatížení hashování) přebírá vstupní parametry z kolekce 5 parametrů (SrcIP, DestIP, SrcPort, DestPort, Protocol). Těmito vstupy mohou být některé nebo všechny, nebo jakákoli podmnožina této řazené kolekce na základě konfigurace uživatele. Tok je namapován na cestu na základě hodnoty hash s vybranými vstupy. Brána VPN 1 Zadejte platnou IP adresu. Brána VPN 2 Zadejte platnou IP adresu. Toto pole je volitelné. Brána VPN 3 Zadejte platnou IP adresu. Toto pole je volitelné. Brána VPN 4 Zadejte platnou IP adresu. Toto pole je volitelné. Veřejná IP (Public IP) Zobrazuje IP adresu primární brány VPN. PSK Předem sdílený klíč (PSK) je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. SASE Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole. Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES-128 nebo AES-256. Výchozí hodnota je AES-128. Skupina DH (DH Group) Vyberte z rozevírací nabídky algoritmus skupiny Diffie-Hellman (DH). Ten se používá pro generování materiálu klíčů. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5 a 14. Výchozí hodnota je 2. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou deaktivováno (deactivated), 2 a 5. Výchozí hodnota je 2. Redundantní VPN VMware Cloud (Redundant VMware Cloud VPN) Zaškrtnutím pole přidáte redundantní tunely pro každou bránu VPN. Změny provedené v Šifrování (Encryption), Skupině DH (DH Group) nebo PFS primární brány VPN budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována. Sekundární brána VPN (Secondary VPN Gateway) Klikněte na tlačítko Přidat (Add) a poté zadejte IP adresu sekundární brány VPN. Klikněte na tlačítko Uložit změny (Save Changes). Sekundární brána VPN pro tuto lokalitu je okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.
ID lokální autentizace (Local Auth Id) ID místního ověřování definuje formát a identifikaci místní brány. V rozevírací nabídce vyberte z následujících typů a zadejte hodnotu: - FQDN – plně kvalifikovaný název domény nebo hostitele. Například: vmware.com.
- FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Např. [email protected]
- IPv4 – IP adresa používaná pro komunikaci s místní bránou.
- IPv6 – IP adresa používaná pro komunikaci s místní bránou.
Poznámka:- Pokud hodnotu nezadáte, bude jako ID místní autentizace použita hodnota Výchozí (Default).
- Pro Cíl jiný než SD-WAN kontrolní bod je jako výchozí hodnota ID místní autentizace použita veřejná IP adresa rozhraní Brána SD-WAN Gateway.
Ukázkový protokol IKE/IPsec (Sample IKE / IPsec) Kliknutím zobrazíte informace potřebné ke konfiguraci brány Cíl jiný než SD-WAN. Administrátor brány by měl tyto informace použít ke konfiguraci tunelového propojení (propojeních) VPN brány. Umístění (Location) Klikněte na možnost Upravit (Edit) a nastavte umístění konfigurované Cíl jiný než SD-WAN. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě. Podsítě lokality (Site Subnets) Pomocí přepínacího tlačítka aktivujte nebo deaktivujte podsítě lokality (Site Subnets). Kliknutím na možnost Přidat (Add) můžete přidat další podsítě pro Cíl jiný než SD-WAN. Pokud pro lokalitu nepotřebujete podsítě, vyberte podsíť a zaškrtněte pole Odstranit (Delete). Poznámka: Pro podporu druhu datového centra typu Cíl jiný než SD-WAN kromě připojení IPsec musíte nakonfigurovat místní podsítě Cíl jiný než SD-WAN v systému VMware. - Klikněte na tlačítko Uložit změny (Save Changes).
Požadavky
Musíte mít k dispozici aktivní účet Check Point a přihlašovací údaje pro přístup k portálu Check Point Infinity Portal.