Das SD-WAN Gateway stellt mithilfe von IKEv1/IPsec eine Verbindung zum Check Point-CloudGuard-Dienst her. Es gibt zwei Schritte zum Konfigurieren eines Check Point: Konfigurieren des CloudGuard-Diensts von Check Point und Konfigurieren des Nicht-SD-WAN-Ziels vom Typ „Check Point“. Sie müssen den ersten Schritt auf dem Check Point-Infinity-Portal und den zweiten Schritt auf der SASE Orchestrator-Instanz ausführen.
Konfigurieren des CloudGuard-Diensts von Check Point
- Melden Sie sich über den Link https://portal.checkpoint.com/ beim Infinity-Portal von Check Point an.
- Nachdem Sie sich angemeldet haben, erstellen Sie im Infinity Portal von Check Point eine Site über den Link https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html.
Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Check Point“
- Sobald Sie eine Nicht-SD-WAN-Ziel-Konfiguration vom Typ Check Point erstellt haben, werden Sie zu einer Seite mit zusätzlichen Konfigurationsoptionen weitergeleitet:
- Sie können die folgenden Tunneleinstellungen konfigurieren:
Option Beschreibung Allgemein Name Sie können den zuvor eingegebenen Namen für Nicht-SD-WAN-Ziel bearbeiten. Typ (Type) Zeigt den Typ als Check Point an. Sie können diese Option nicht bearbeiten. Tunnel aktivieren (Enable Tunnel(s)) Klicken Sie auf die Umschaltfläche, um den/die Tunnel vom SD-WAN Gateway zum Check Point-VPN-Gateway zu initiieren. Tunnelmodus (Tunnel Mode) Zeigt Aktiv/Hot-Standby (Active/Hot-Standby) an, dass der Standby-Tunnel (Hot-Standby) übernimmt und zum aktiven Tunnel wird, wenn der aktive Tunnel ausfällt. Primäres VPN-Gateway (Primary VPN Gateway) Öffentliche IP (Public IP) Zeigt die IP-Adresse des primären VPN-Gateways an. PSK Der vorinstallierte Schlüssel (PSK) ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Der SASE Orchestrator generiert standardmäßig einen PSK. Wenn Sie Ihren eigenen PSK oder Ihr eigenes Kennwort verwenden möchten, geben Sie es in das Textfeld ein. Verschlüsselung (Encryption) Wählen Sie entweder AES-128 oder AES-256 als Schlüsselgröße des AES-Algorithmus zur Verschlüsselung von Daten aus. Der Standardwert ist AES-128. DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppenalgorithmus aus dem Dropdown-Menü aus. Dieser Algorithmus wird zum Generieren von Schlüsselmaterial verwendet. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Unterstützte DH-Gruppen: 2, 5 und 14. Der Standardwert ist 2. PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Unterstützte PFS-Ebenen: deaktiviert (deactivated), 2 und 5. Der Standardwert ist 2. Redundantes VMware Cloud-VPN (Redundant VMware Cloud VPN) Aktivieren Sie das Kontrollkästchen, um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Änderungen, die an Verschlüsselung (Encryption), DH-Gruppe (DH Group) oder PFS von „Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet. Sekundäres VPN-Gateway (Secondary VPN Gateway) Klicken Sie auf die Schaltfläche Hinzufügen (Add) und geben Sie dann die IP-Adresse des sekundären VPN-Gateways ein. Klicken Sie auf Änderungen speichern (Save Changes). Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.
Lokale Authentifizierungs-ID (Local Auth Id) Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-Menü eine der folgenden Typen aus und geben Sie einen Wert ein: - FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: vmware.com
- Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected]
- IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
- IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
Hinweis:- Wenn Sie keinen Wert angeben, wird Standard (Default) als lokale Authentifizierungs-ID verwendet.
- Bei einer Nicht-SD-WAN-Ziel vom Typ „Check Point“ wird die öffentliche IP der SD-WAN Gateway-Schnittstelle standardmäßig als Wert für die lokale Authentifizierungs-ID verwendet.
Beispiel IKE/IPsec (Sample IKE / IPsec) Klicken Sie hier, um die Informationen anzuzeigen, die zum Konfigurieren des Nicht-SD-WAN-Ziel-Gateways erforderlich sind. Der Gateway-Administrator sollte diese Informationen verwenden, um den/die VPN-Tunnel des Gateways zu konfigurieren. Standort (Location) Klicken Sie auf Bearbeiten (Edit), um den Speicherort für die konfigurierte Nicht-SD-WAN-Ziel festzulegen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann. Site-Subnetze (Site Subnets) Verwenden Sie die Umschaltfläche, um die Site-Subnetze (Site Subnets) zu aktivieren oder zu deaktivieren. Klicken Sie auf Hinzufügen (Add), um Subnetze für das Nicht-SD-WAN-Ziel hinzuzufügen. Wenn Sie keine Subnetze für die Site benötigen, wählen Sie das Subnetz aus und klicken Sie auf Löschen (Delete). Hinweis: Zur Unterstützung des Datencentertyps von Nicht-SD-WAN-Ziel müssen Sie neben der IPsec-Verbindung lokale Nicht-SD-WAN-Ziel-Subnetze im VMware-System konfigurieren. - Klicken Sie auf Änderungen speichern (Save Changes).
Voraussetzungen
Sie müssen über ein aktives Check Point-Konto und über Anmeldeinformationen verfügen, um auf das Infinity-Portal von Check Point zugreifen zu können.