Můžete definovat a konfigurovat instanci Cíl jiný než SD-WAN jako bránu zabezpečení cloudu Forcepoint, a tak vytvořit bezpečné tunelové připojení IPsec k bráně zabezpečení cloudu Forcepoint přes Zařízení VMware SD-WAN Edge.

Konfigurace cíle jiného než SD-WAN prostřednictvím Edge:

Požadavky

Ujistěte se, že máte administrátorská oprávnění pro přihlášení k VMware SD-WAN Orchestrator.

Procedura

  1. Přihlaste se k systému SD-WAN Orchestrator a přejděte do části Spravovat zákazníky (Manage Customers).
  2. Klikněte na odkaz na zákazníka, jehož provoz má být směrován na bránu zabezpečení cloudu Forcepoint.
  3. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
  4. V podokně Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na tlačítko Nový (New) a vytvořte nový cíl jiného typu než SD-WAN.
  5. V okně Nový cíl jiný než SD-WAN prostřednictvím Edge (New Non SD-WAN Destination via Edge) nastavte následující:
    Možnost Popis
    Název služby (Service Name) Zadejte pro cíl jiný než SD-WAN popisný název.
    Typ služby (Service Type) Vyberte typ Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)).
    Klikněte na tlačítko Další (Next).
  6. V dalším okně proveďte následující nastavení:
    Klikněte na možnost Rozšířené (Advanced) a nakonfigurujte další parametry tunelu IPsec pro brány primární a sekundární VPN následujícím způsobem:
    Možnost Popis
    Šifrování (Encryption) Z rozevíracího seznamu vyberte pro šifrování dat klíč algoritmu AES AES-256.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH) 14, který se použije při výměně předem sdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech.
    PFS Pro úroveň dopředné bezpečnosti PFS vyberte možnost deaktivováno (deactivated).
    Hash Z rozevíracího seznamu zvolte algoritmus autentizace pro záhlaví VPN SHA 256.
    Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Zadejte v minutách dobu životnosti IKE SA. Opětovné vytvoření klíčů by mělo být pro zařízení Edge zahájeno před vypršením časového limitu. Rozsah je 10–1 440 minut. Výchozí hodnota je 1440 minut.
    Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Zadejte v minutách dobu životnosti IPsec SA. Opětovné vytvoření klíčů by mělo být pro zařízení Edge zahájeno před vypršením časového limitu. Rozsah je 3–480 minut. Výchozí hodnota je 480 minut.
    Časovač vypršení DPD (s) (DPD Timeout Timer(sec)) Zadejte maximální dobu čekání zařízení na příjem odpovědi na zprávu DPD, než vyhodnotí, že je partnerské zařízení nedostupné. Výchozí hodnota je 20 sekund. Metodu DPD můžete deaktivovat nastavením hodnoty nula (0) pro časovač limitu DPD.
    Pro bránu sekundární VPN zaškrtněte políčko Nastavení tunelu je stejné jako primární VPN (Tunnel settings are same as Primary VPN) pro použití nastavení tunelu, které je podobné bráně primární VPN. Edge bude nastaven se 2 tunely.
    Pro další nastavení zvolte výchozí hodnoty.
    Klikněte na tlačítko Uložit změny (Save Changes) a okno zavřete.

Výsledek

V okně Síťové služby (Network Services) se zobrazí nový cíl jiný než SD-WAN prostřednictvím Edge:

Jak pokračovat dále

Konfigurujte profil pro použití nového cíle jiného než SD-WAN prostřednictvím Edge. Viz téma Konfigurace profilu pomocí cíle jiného než SD-WAN prostřednictvím Edge.