Můžete definovat a konfigurovat instanci Cíl jiný než SD-WAN jako bránu zabezpečení cloudu Forcepoint, a tak vytvořit bezpečné tunelové připojení IPsec k bráně zabezpečení cloudu Forcepoint přes Brána VMware SD-WAN Gateway.
Konfigurace cíle jiného než SD-WAN prostřednictvím brány:
Požadavky
Ujistěte se, že máte administrátorská oprávnění pro přihlášení k VMware SD-WAN Orchestrator.
Procedura
- Přihlaste se k systému SD-WAN Orchestrator a přejděte do části Spravovat zákazníky (Manage Customers).
- V podokně Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na možnost Nový (New) a vytvořte nový cíl jiný než SD-WAN.
- V okně Nový cíl jiný než SD-WAN prostřednictvím brány (New Non SD-WAN Destination via Gateway) nastavte následující:
Možnost Popis Název (Name) Zadejte pro cíl jiný než SD-WAN popisný název. Typ (Type) Vyberte typ Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)). Brána primární VPN (Primary VPN Gateway) Zadejte IP adresu prvního datového centra z konfigurace Zařízení Edge (Edge Device) brány zabezpečení cloudu Forcepoint. Sekundární brána VPN (Secondary VPN Gateway) Zadejte IP adresu druhého datového centra z konfigurace Zařízení Edge (Edge Device) brány zabezpečení cloudu Forcepoint. Klikněte na tlačítko Další (Next). - V dalším okně proveďte následující nastavení:
Zobrazí se hodnoty Název (Name) a Typ (Type) cíle jiného typu než SD-WAN. Chcete-li tunel aktivovat, zaškrtněte políčko Aktivovat tunel(y) (Enable Tunnel(s)).Klikněte na možnost Rozšířené (Advanced) a nakonfigurujte další parametry tunelu IPsec pro brány primární a sekundární VPN následujícím způsobem:Možnost Popis PSK Zadejte předem sdílený klíč použitý při konfiguraci položky Zařízení Edge (Edge Device) v bráně zabezpečení cloudu Forcepoint. PSK redundantního tunelu (Redundant Tunnel PSK) Zadejte předem sdílený klíč znovu. Šifrování (Encryption) Z rozevíracího seznamu vyberte pro šifrování dat klíč algoritmu AES AES-256. Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který se použije při výměně předem sdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. PFS Pro úroveň dopředné bezpečnosti PFS vyberte možnost deaktivováno (deactivated). Hash Z rozevíracího seznamu zvolte algoritmus autentizace pro záhlaví VPN SHA 256. Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Zadejte v minutách dobu životnosti IKE SA. Opětovné vytvoření klíčů by mělo být pro zařízení Edge zahájeno před vypršením časového limitu. Rozsah je 10–1 440 minut. Výchozí hodnota je 1440 minut. Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Zadejte v minutách dobu životnosti IPsec SA. Opětovné vytvoření klíčů by mělo být pro zařízení Edge zahájeno před vypršením časového limitu. Rozsah je 3–480 minut. Výchozí hodnota je 480 minut. Časovač vypršení DPD (s) (DPD Timeout Timer(sec)) Zadejte maximální dobu čekání zařízení na příjem odpovědi na zprávu DPD, než vyhodnotí, že je partnerské zařízení nedostupné. Výchozí hodnota je 20 sekund. Metodu DPD můžete deaktivovat nastavením hodnoty nula (0) pro časovač limitu DPD. Redundantní VPN pro VeloCloud Cloud (Redundant VeloCloud Cloud VPN) – toto políčko zaškrtněte, chcete-li vytvořit tunely IPsec z primárních a sekundárních bran.Podsítě lokality (Site Subnets) – pomocí ikony plus ( +) přidejte podsítě pro položku Cíl jiný než SD-WAN. Jestliže pro danou lokalitu nepotřebujete podsítě, zvolte pole Deaktivovat podsítě lokality (Deactivate Site Subnets).ID lokální autentizace (Local Auth Id) – z rozevíracího seznamu vyberte ID lokální autentizace FQDN a zadejte název DNS použitý při konfiguraci položky Zařízení Edge (Edge Device) v bráně zabezpečení cloudu Forcepoint.
Klikněte na tlačítko Uložit změny (Save Changes) a okno zavřete.
Výsledek
V okně Síťové služby (Network Services) se zobrazí nový cíl jiný než SD-WAN prostřednictvím brány:
Jak pokračovat dále
Konfigurujte profil pro použití nového cíle jiného než SD-WAN prostřednictvím brány. Viz téma Konfigurace profilu pomocí cíle jiného než SD-WAN prostřednictvím brány.
