Nachdem Sie eine Site im Infinity-Portal von Check Point erstellt haben, konfigurieren Sie Check Point als die Non VMware SD-WAN Site auf der SD-WAN Orchestrator-Instanz.

Nachdem Sie eine Site im Infinity-Portal von Check Point erstellt haben, führen Sie die folgenden Schritte aus:

Prozedur

  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  2. Klicken Sie im Bereich Nicht-VeloCloud-Sites (Non-VeloCloud Sites) auf die Schaltfläche Neu (New).
    Das Dialogfeld Neue Nicht-VeloCloud-Site (New Non-VeloCloud Site) wird angezeigt.

  3. Führen Sie die folgenden Unterschritte im Dialogfeld Neue Nicht-VeloCloud-Site (New Non-VeloCloud Site) aus:
    1. Geben Sie den Name Ihrer Site ein.
    2. Wählen Sie „Check Point“ im Dropdown-Menü Typ (Type) aus.
    3. Geben Sie das primäre VPN-Gateway (und das sekundäre VPN Gateway, falls erforderlich) ein.
    4. Klicken Sie auf Weiter (Next).
      Es wird ein Dialogfeld für Ihre Non VMware SD-WAN Site angezeigt (siehe Abbildung unten).

      Hinweis: Um Tunneleinstellungen für das primäre VPN-Gateway der Non VMware SD-WAN Site zu konfigurieren, klicken Sie auf die erweiterte Schaltfläche, die sich am unteren Rand des Dialogfelds befindet. Alle Änderungen, die an „Verschlüsselung (Encryption)“, „DH-Gruppe (DH Group)“ oder „PFS“ vorgenommen wurden, werden auch auf die redundante Tunnelkonfiguration angewendet. Aktualisieren Sie nach dem Speichern Ihrer Änderungen das primäre VPN-Gateway-Gerät der Site. Klicken Sie auf die Optionsschaltfläche „IKE/IPSec-Vorlage anzeigen (View IKE/IPSec Template)“.
  4. Geben Sie im Bereich „Primäres VPN-Gateway (Primary VPN Gateway)“ Folgendes ein:
    1. PSK: Geben Sie den vorinstallierten Schlüssel ein, der auf dem Check Point-Infinity-Portal konfiguriert wurde. Konfigurieren Sie keine redundanten IPSec-Tunnel (behalten Sie die Aktivierung des Kontrollkästchens Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN) bei).
    2. Verschlüsselung (Encryption): Die Verschlüsselung sollte auf denselben Algorithmus festgelegt werden, der im Check Point-Infinity-Portal konfiguriert wurde.
    3. DH-Gruppe (DH Group): Die DH-Gruppe sollte auf denselben Wert festgelegt werden, der im Check Point-Infinity-Portal konfiguriert wurde.
    4. Für die Zwecke dieser spezifischen Check Point-Konfiguration wählen Sie aus dem PFS-Dropdown-Menü die Option deaktiviert (disabled) aus.
  5. Um ein sekundäres VPN-Gateway hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen (Add). Wenn Sie auf die Schaltfläche Änderungen speichern (Save Changes) klicken, wird das sekundäre VPN-Gateway für diese Site sofort erstellt und diesem Gateway wird ein VMware-VPN-Tunnel bereitgestellt.
    Hinweis:

    Bei einer Non VMware SD-WAN Site vom Typ Check Point wird die öffentliche IP der SD-WAN Gateway-Schnittstelle standardmäßig als Wert für die lokale Authentifizierungs-ID verwendet.

  6. Wie in Schritt 4a oben erwähnt, behalten Sie die Aktivierung des Kontrollkästchens Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN) bei.
  7. Wählen Sie für die Zwecke der Check Point-Konfiguration die Option Standard aus dem Dropdown-Menü „Lokale Authentifizierungs-ID (Local Auth Id)“ aus.
  8. Aktivieren Sie zum Zweck der Check Point-Konfiguration das Kontrollkästchen Site-Subnetze deaktivieren (Disable Site Subnets).
  9. Klicken Sie auf Änderungen speichern (Save Changes).
  10. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), sobald Sie bereit sind, den Tunnel vom SD-WAN Gateway zu den Check Point-CloudGuard-VPN-Gateways zu initiieren.