Konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway in SD-WAN Orchestrator, um einen sicheren IPSec-Tunnel zum Netskope-Portal über SD-WAN Gateway einzurichten.

So konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway:

Voraussetzungen

Sie müssen bereits einen IPsec-Tunnel im Netskope NG SWG-Portal konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von VPN-Anmeldeinformationen im Netskope-Portal.

Prozedur

  1. Melden Sie sich bei SD-WAN Orchestrator an und stellen Sie sicher, dass die Kundeninstanzen erstellt und die Edges online sind.
  2. Klicken Sie auf den Link zu einem Kundennamen, um zum Unternehmens-Portal zu navigieren.
  3. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  4. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf Neu (New), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
  5. Konfigurieren Sie im Fenster Neues Nicht-SD-WAN-Ziel über Gateway (New Non SD-WAN Destination via Gateway) die folgenden Einstellungen:
    Option Beschreibung
    Name Geben Sie einen beschreibenden Namen für das Nicht-SD-WAN-Ziel ein.
    Typ (Type) Wählen Sie als Typ Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) aus.
    Primäres VPN-Gateway (Primary VPN Gateway) Geben Sie die IP-Adresse des primären POP ein, das zum Einrichten des VPN-Tunnels im Netskope-Portal verwendet wird.
    Sekundäres VPN-Gateway (Secondary VPN Gateway) Geben Sie die IP-Adresse des sekundären POP ein, das zum Einrichten des VPN-Tunnels im Netskope-Portal verwendet wird.
    Klicken Sie auf Weiter (Next).
  6. Konfigurieren Sie im nächsten Fenster die folgenden Einstellungen:
    Name und Typ (Type) des Nicht-SD-WAN-Ziels werden angezeigt. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), um den Tunnel zu aktivieren.
    Klicken Sie auf Erweitert (Advanced), um die anderen IPsec-Tunnelparameter für die primären und sekundären VPN-Gateways wie folgt zu konfigurieren:
    Option Beschreibung
    Verschlüsselung (Encryption) Wählen Sie den AES-Algorithmusschlüssel aus der Dropdown-Liste aus, um Daten zu verschlüsseln. Wenn Sie die Daten nicht verschlüsseln möchten, wählen Sie Null. Der Standardwert ist AES 128.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch des vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5, 14, 15 und 16. Es wird empfohlen, DH-Gruppe 14 zu verwenden.
    PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. Der Standardwert ist „Deaktiviert (Disabled)“.
    Hash Wählen Sie den Authentifizierungsalgorithmus für die VPN-Kopfzeile aus der Dropdown-Liste aus. Die folgenden Secure Hasch Algorithm (SHA)-Optionen stehen zur Verfügung:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Der Standardwert ist SHA 256.

    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie die IKE SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 10 und 1440 Sekunden. Der Standardwert ist 1440 Sekunden.
    IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie die IPsec SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 3 und 480 Sekunden. Der Standardwert ist 480 Sekunden.
    DPD-Zeitüberschreitungstimer(Sek.) (DPD Timeout Timer(sec)) Geben Sie ein, wie lange das Gerät maximal auf den Empfang einer Antwort auf eine DPD-Nachricht warten soll, bevor der Peer als ausgefallen betrachtet wird. Der Standardwert beträgt 20 Sekunden. Sie können DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf null (0) konfigurieren.
    Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN): Aktivieren Sie das Kontrollkästchen, um die IPsec-Tunnel von der primären und sekundären SD-WAN Gateways aus einzurichten.
    Site-Subnetze (Site Subnets): Fügen Sie mit dem Plussymbol ( +) Subnetze für die Nicht-SD-WAN-Ziel hinzu. Wenn Sie keine Subnetze für die Site benötigen, aktivieren Sie das Kontrollkästchen Site-Subnetze deaktivieren (Disable Site Subnets).
    Lokale Authentifizierungs-ID (Local Auth Id): Wählen Sie die lokale Authentifizierungs-ID aus der Dropdown-Liste aus, um das Format und die Identifizierung des lokalen Gateways festzulegen. Die folgende Option ist verfügbar:
    • Standard (Default): Standardmäßig wird die öffentliche IP-Adresse der Schnittstelle des SD-WAN Gateway als lokale Authentifizierungs-ID verwendet.
    • FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: google.com.
    • Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: user@google.com.
    • IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
    Klicken Sie auf Änderungen speichern (Save Changes) und schließen Sie das Fenster.

Ergebnisse

Das neue Nicht-SD-WAN-Ziel über Gateway wird im Fenster Netzwerkdienste (Network Services) angezeigt:

Nächste Maßnahme

Konfigurieren des Profils, um das neue Nicht-SD-WAN-Ziel über Gateway zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Profils mit einem Nicht-SD-WAN-Ziel über Gateway.