Sie können eine Nicht-SD-WAN-Ziel-Instanz als Forcepoint Cloud Security Gateway definieren und konfigurieren und einen sicheren IPsec-Tunnel zu Forcepoint Cloud Security Gateway über ein VMware SD-WAN Edge einrichten.

So konfigurieren Sie ein Nicht-SD-WAN-Ziel über Edge:

Voraussetzungen

Für die Anmeldung beim VMware SD-WAN Orchestrator benötigen Sie Administratorrechte.

Prozedur

  1. Melden Sie sich beim SD-WAN Orchestrator an und navigieren Sie zu Kunden verwalten (Manage Customers).
  2. Klicken Sie auf den Link zu einem Kunden, dessen Datenverkehr an Forcepoint Cloud Security Gateway weitergeleitet würde.
  3. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  4. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) auf Neu (New), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
  5. Konfigurieren Sie im Fenster Neues Nicht-SD-WAN-Ziel über Edge (New Non SD-WAN Destination via Edge) die folgenden Einstellungen:
    Option Beschreibung
    Dienstname (Service Name) Geben Sie einen beschreibenden Namen für das Nicht-SD-WAN-Ziel ein.
    Diensttyp (Service Type) Wählen Sie als Typ Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) aus.
    Klicken Sie auf Weiter (Next).
  6. Konfigurieren Sie im nächsten Fenster die folgenden Einstellungen:
    Klicken Sie auf Erweitert (Advanced), um die anderen IPsec-Tunnelparameter für die primären und sekundären VPN-Gateways wie folgt zu konfigurieren:
    Option Beschreibung
    Verschlüsselung (Encryption) Wählen Sie AES-256 als AES-Algorithmusschlüssel aus der Dropdown-Liste aus, um Daten zu verschlüsseln.
    DH-Gruppe (DH Group) Wählen Sie als Diffie-Hellman (DH)-Gruppen-Algorithmus 14 aus. Dieser Algorithmus wird dann beim Austausch des vorinstallierten Schlüssels verwendet. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt.
    PFS Wählen Sie für die PFS-Ebene (Perfect Forward Secrecy) die Einstellung deaktiviert (disabled) aus.
    Hash Wählen Sie als Authentifizierungsalgorithmus für den VPN-Header SHA 256 aus der Dropdown-Liste aus.
    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie die IKE SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 10 und 1440 Sekunden. Der Standardwert ist 1440 Sekunden.
    IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie die IPsec SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 3 und 480 Sekunden. Der Standardwert ist 480 Sekunden.
    DPD-Zeitüberschreitungstimer(Sek.) (DPD Timeout Timer(sec)) Geben Sie ein, wie lange das Gerät maximal auf den Empfang einer Antwort auf eine DPD-Nachricht warten soll, bevor der Peer als ausgefallen betrachtet wird. Der Standardwert beträgt 20 Sekunden. Sie können DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf null (0) konfigurieren.
    Aktivieren Sie für das sekundäre VPN-Gateway das Kontrollkästchen Tunneleinstellungen wie für primäres VPN (Tunnel settings are same as Primary VPN), um die Tunneleinstellungen ähnlich wie für das primäre VPN-Gateway zu konfigurieren. Der Edge wird mit 2 Tunneln eingerichtet.
    Wählen Sie die Standardwerte für andere Einstellungen aus.
    Klicken Sie auf Änderungen speichern (Save Changes) und schließen Sie das Fenster.

Ergebnisse

Das neue Nicht-SD-WAN-Ziel über Edge wird im Fenster Netzwerkdienste (Network Services) angezeigt:

Nächste Maßnahme

Konfigurieren des Profils, um das neue Nicht-SD-WAN-Ziel über Edge zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Profils mit einem Nicht-SD-WAN-Ziel über Edge.