Sie können eine Nicht-SD-WAN-Ziel-Instanz als Forcepoint Cloud Security Gateway definieren und konfigurieren und einen sicheren IPsec-Tunnel zu Forcepoint Cloud Security Gateway über ein VMware SD-WAN Gateway einrichten.

So konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway:

Voraussetzungen

Für die Anmeldung beim VMware SD-WAN Orchestrator benötigen Sie Administratorrechte.

Prozedur

  1. Melden Sie sich beim SD-WAN Orchestrator an und navigieren Sie zu Kunden verwalten (Manage Customers).
  2. Klicken Sie auf den Link zu einem Kunden, dessen Datenverkehr an Forcepoint Cloud Security Gateway weitergeleitet würde.
  3. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  4. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf Neu (New), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
  5. Konfigurieren Sie im Fenster Neues Nicht-SD-WAN-Ziel über Gateway (New Non SD-WAN Destination via Gateway) die folgenden Einstellungen:
    Option Beschreibung
    Name Geben Sie einen beschreibenden Namen für das Nicht-SD-WAN-Ziel ein.
    Typ (Type) Wählen Sie als Typ Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) aus.
    Primäres VPN-Gateway (Primary VPN Gateway) Geben Sie die IP-Adresse des ersten Datencenters aus der Edge-Gerätekonfiguration (Edge-Gerät (Edge Device)) von Forcepoint Cloud Security Gateway ein.
    Sekundäres VPN-Gateway (Secondary VPN Gateway) Geben Sie die IP-Adresse des zweiten Datencenters aus der Edge-Gerätekonfiguration (Edge-Gerät (Edge Device)) von Forcepoint Cloud Security Gateway ein.
    Klicken Sie auf Weiter (Next).
  6. Konfigurieren Sie im nächsten Fenster die folgenden Einstellungen:
    Name und Typ (Type) des Nicht-SD-WAN-Ziels werden angezeigt. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), um den Tunnel zu aktivieren.
    Klicken Sie auf Erweitert (Advanced), um die anderen IPsec-Tunnelparameter für die primären und sekundären VPN-Gateways wie folgt zu konfigurieren:
    Option Beschreibung
    PSK Geben Sie den vorinstallierten Schlüssel ein, der bei der Konfiguration des Edge-Geräts (Edge Device) in Forcepoint Cloud Security Gateway verwendet wird.
    Redundanter Tunnel-PSK (Redundant Tunnel PSK) Wiederholen Sie die Eingabe des vorinstallierten Schlüssels.
    Verschlüsselung (Encryption) Wählen Sie AES-256 als AES-Algorithmusschlüssel aus der Dropdown-Liste aus, um Daten zu verschlüsseln.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch des vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt.
    PFS Wählen Sie für die PFS-Ebene (Perfect Forward Secrecy) die Einstellung deaktiviert (disabled) aus.
    Hash Wählen Sie als Authentifizierungsalgorithmus für den VPN-Header SHA 256 aus der Dropdown-Liste aus.
    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie die IKE SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 10 und 1440 Sekunden. Der Standardwert ist 1440 Sekunden.
    IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie die IPsec SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 3 und 480 Sekunden. Der Standardwert ist 480 Sekunden.
    DPD-Zeitüberschreitungstimer(Sek.) (DPD Timeout Timer(sec)) Geben Sie ein, wie lange das Gerät maximal auf den Empfang einer Antwort auf eine DPD-Nachricht warten soll, bevor der Peer als ausgefallen betrachtet wird. Der Standardwert beträgt 20 Sekunden. Sie können DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf null (0) konfigurieren.
    Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN): Aktivieren Sie das Kontrollkästchen, um die IPsec-Tunnel vom primären und sekundären Gateway aus einzurichten.
    Site-Subnetze (Site Subnets): Fügen Sie mit dem Plussymbol ( +) Subnetze für die Nicht-SD-WAN-Ziel hinzu. Wenn Sie keine Subnetze für die Site benötigen, aktivieren Sie das Kontrollkästchen Site-Subnetze deaktivieren (Disable Site Subnets).

    Lokale Authentifizierungs-ID (Local Auth Id): Wählen Sie die lokale Authentifizierungs-ID als FQDN aus der Dropdown-Liste aus und geben Sie den DNS-Namen ein, der bei der Konfiguration des Edge-Geräts (Edge Device) in Forcepoint Cloud Security Gateway verwendet wird.

    Klicken Sie auf Änderungen speichern (Save Changes) und schließen Sie das Fenster.

Ergebnisse

Das neue Nicht-SD-WAN-Ziel über Gateway wird im Fenster Netzwerkdienste (Network Services) angezeigt:

Nächste Maßnahme

Konfigurieren des Profils, um das neue Nicht-SD-WAN-Ziel über Gateway zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Profils mit einem Nicht-SD-WAN-Ziel über Gateway.