Nachdem Sie eine Site im Infinity-Portal von Check Point erstellt haben, konfigurieren Sie eine Non VMware SD-WAN Site vom Typ Check Point im SD-WAN Orchestrator.

Führen Sie die folgenden Schritte aus, um eine Non VMware SD-WAN Site vom Typ Check Point im SD-WAN Orchestrator zu konfigurieren:

Prozedur

  1. Navigieren Sie im Navigationsfenster in SD-WAN Orchestrator zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
    Der Bildschirm Dienste (Services) wird angezeigt.
  2. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf die Schaltfläche Neu (New).
    Das Dialogfeld Neue Nicht-SD-WAN-Ziele über Gateway (New Non SD-WAN Destinations via Gateway) wird angezeigt.
  3. Geben Sie im Textfeld Name den Namen für die Non VMware SD-WAN Site ein.
  4. Wählen Sie im Dropdown-Menü Typ (Type) den Eintrag Check Point aus.
  5. Geben Sie die IP-Adresse für das primäre VPN-Gateway (und bei Bedarf für das sekundäre VPN-Gateway) an und klicken Sie auf Weiter (Next).
    Eine Non VMware SD-WAN Site vom Typ Check Point wird erstellt und ein Dialogfeld für die Non VMware SD-WAN Site wird angezeigt.
  6. Um die Tunneleinstellungen für das primäre VPN-Gateway der Non VMware SD-WAN Site zu konfigurieren, klicken Sie auf die Schaltfläche Erweitert (Advanced).
  7. Im Bereich Primäres VPN-Gateway (Primary VPN Gateway) können Sie die folgenden Tunneleinstellungen konfigurieren:
    Feld Beschreibung
    PSK Der vorinstallierte Schlüssel (Pre-Shared Key, PSK), der der Sicherheitsschlüssel für die Authentifizierung über den Tunnel ist. Der Orchestrator generiert standardmäßig einen PSK. Wenn Sie einen eigenen PSK oder ein eigenes Kennwort verwenden möchten, können Sie dies in das Textfeld eingeben.
    Verschlüsselung (Encryption) Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Der Standardwert ist AES 128.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5 und 14. Es wird empfohlen, DH-Gruppe 14 zu verwenden.
    PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2 und 5. Der Standardwert ist 2.
  8. Wenn Sie ein sekundäres VPN-Gateway für diese Site erstellen möchten, klicken Sie auf die Schaltfläche Hinzufügen (Add) neben Sekundäres VPN-Gateway (Secondary VPN Gateway). Geben Sie im Popup-Fenster die IP-Adresse des sekundären VPN-Gateways ein und klicken Sie auf Änderungen speichern (Save Changes).

    Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.

    Hinweis:

    Bei einer Non VMware SD-WAN Site vom Typ Check Point wird die öffentliche IP der SD-WAN Gateway-Schnittstelle standardmäßig als Wert für die lokale Authentifizierungs-ID verwendet.

  9. Aktivieren Sie das Kontrollkästchen Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN), um redundante Tunnel für jedes VPN-Gateway hinzuzufügen.
    Alle Änderungen, die an „Verschlüsselung (Encryption)“, „DH-Gruppe (DH Group)“ oder „PFS von Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet. Nachdem Sie die Tunneleinstellungen des primären VPN-Gateways geändert haben, speichern Sie die Änderungen und klicken dann auf IKE/IPSec-Vorlage anzeigen (View IKE/IPSec Template), um die aktualisierte Tunnelkonfiguration anzuzeigen.
  10. Klicken Sie auf den Link Standort aktualisieren (Update location), um den Standort für die konfigurierte Non VMware SD-WAN Site anzuzeigen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann.
  11. Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-MenüLokale Authentifizierungs-ID (Local Auth Id) unter den folgenden Typen und geben Sie einen ermittelten Wert ein:
    • FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: google.com.
    • Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected].
    • IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
    Wenn Sie keinen Wert angeben, wird Standard (Default) als lokale Authentifizierungs-ID verwendet.
  12. Unter Site-Subnetze (Site Subnets) können Sie Subnetze für die Non VMware SD-WAN Site hinzufügen, indem Sie auf die Schaltfläche mit dem Pluszeichen (+) klicken. Wenn Sie keine Subnetze für die Site benötigen, aktivieren Sie das Kontrollkästchen Site-Subnetze deaktivieren (Disable Site Subnets).
  13. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), sobald Sie bereit sind, den Tunnel vom SD-WAN Gateway zu den Check Point-VPN-Gateways zu initiieren.
  14. Klicken Sie auf Änderungen speichern (Save Changes).