Bevor Sie die SSE-Automatisierung (Security Service Edge) konfigurieren, müssen Sie zuerst die Profile IKE und IPsec konfigurieren, die von der SSE-Automatisierung verwendet werden sollen. Dies ist erforderlich, um den Tunnel vom Edge zur Prisma Cloud zu initiieren. Dies ist eine einmalige manuelle Konfiguration, die im Portal Palo Alto Networks Strata Cloud Manager durchgeführt werden muss.

Führen Sie die folgenden Schritte aus, um die Profile IKE und IPsec zu konfigurieren:
Hinweis: Dieses Verfahren dient nur zu Orientierungszwecken.

Voraussetzungen

Im Portal Palo Alto Networks Strata Cloud Manager gibt es keinen dedizierten Speicherort, um die Profile IKE und IPsec zu konfigurieren. Daher muss diese Konfiguration im Konfigurationsabschnitt Remote-Netzwerke (Remote Networks) erfolgen.

Beachten Sie die folgende Vorlage, wenn Sie die Werte für die Profile IKE und IPsec eingeben:
  • AES 128 CBC
  • DH-Gruppe 14 (IKE-Verschlüsselungsprofil)
  • PFS deaktiviert (IPsec-Verschlüsselungsprofil – DH-Gruppe)
  • SHA 256
  • IKE-SA-Lebensdauer 1440 min
  • IPsec-SA-Lebensdauer 480 min

Prozedur

  1. Melden Sie sich beim Portal Palo Alto Networks Strata Cloud Manager an.
    Der folgende Bildschirm wird angezeigt:
  2. Navigieren Sie zu Arbeitsabläufe (Workflows) > Prisma Access-Einrichtung (Prisma Access Setup) > Remote-Netzwerk (Remote Networks), wie im obigen Screenshot dargestellt.
    Der Bildschirm Einrichtung von Remote-Netzwerken (Remote Networks Setup) wird angezeigt.
  3. Klicken Sie in der oberen rechten Ecke des Bildschirms Einrichtung von Remote-Netzwerken (Remote Networks Setup) auf Remote-Netzwerke hinzufügen (Add Remote Networks).
  4. Ignorieren Sie im Bildschirm Remote-Netzwerke hinzufügen (Add Remote Networks) die Pflichtfelder und wechseln Sie direkt zu den Konfigurationen der Profile IKE und IPsec, indem Sie wie unten dargestellt auf Einrichten (Set Up) im Abschnitt Primärer Tunnel (Primary Tunnel) klicken:
  5. Klicken Sie im Bildschirm IPsec-Tunnel erstellen (Create IPsec Tunnel) auf Neue erstellen (Create New).
  6. Ignorieren Sie alle Pflichtfelder und scrollen Sie auf diesem Bildschirm nach unten. Klicken Sie auf Erweiterte IKE-Optionen (IKE Advanced Options).
  7. Klicken Sie im Bildschirm Erweiterte IKE-Optionen (IKE Advanced Options) auf Neue erstellen (Create New).
    Hinweis: Ignorieren Sie alle vorkonfigurierten Optionen. Sie müssen ein neues IKE-Profil erstellen, das für die VMware SSE-Automatisierung verwendet werden soll.
  8. Beim Klicken auf Neue erstellen (Create New) wird der folgende Bildschirm angezeigt:
  9. Geben Sie die Werte basierend auf der im Abschnitt „Pre-Requisites (Voraussetzungen)“ angegebenen Vorlage ein und klicken Sie dann auf Speichern (Save).
  10. Klicken Sie auf Speichern (Save) im Bildschirm Erweiterte IKE-Optionen (IKE Advanced Options), um das IKE-Profil zu speichern.
    Dieser Schritt führt Sie zurück zum Bildschirm IPsec-Tunnel erstellen (Create IPsec Tunnel).
  11. Klicken Sie im Bildschirm IPsec-Tunnel erstellen (Create IPsec Tunnel) auf Erweiterte IPsec-Optionen (IPsec Advanced Options), wie unten dargestellt:
  12. Klicken Sie auf Neu erstellen (Create New) im Bildschirm Erweiterte IPsec-Optionen (IPsec Advanced Options).
    Hinweis: Ignorieren Sie alle vorkonfigurierten Optionen. Sie müssen ein neues IPsec-Profil erstellen, das für die VMware SSE-Automatisierung verwendet werden soll.
  13. Beim Klicken auf Neue erstellen (Create New) wird der folgende Bildschirm angezeigt:
  14. Geben Sie die Werte basierend auf der im Abschnitt „Pre-Requisites (Voraussetzungen)“ angegebenen Vorlage ein und klicken Sie dann auf Speichern (Save).
  15. Klicken Sie auf Speichern (Save) im Bildschirm Erweiterte IPsec-Optionen (IPsec Advanced Options), um das IPsec-Profil zu speichern.

Nächste Maßnahme

Sie können jetzt mit dem VMware Cloud Orchestrator fortfahren, um den Security Service Edge (SSE) zu konfigurieren und die Automatisierung zu initiieren. Weitere Informationen finden Sie unter Security Service Edge (SSE).