Konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway in SD-WAN Orchestrator, um einen sicheren IPSec-Tunnel zum Netskope-Portal über SD-WAN Gateway einzurichten.

So konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway:

Voraussetzungen

Sie müssen bereits einen IPsec-Tunnel im Netskope NG SWG-Portal konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von VPN-Anmeldeinformationen im Netskope-Portal.

Prozedur

  1. Melden Sie sich bei SD-WAN Orchestrator an und stellen Sie sicher, dass die Kundeninstanzen erstellt und die Edges online sind.
  2. Klicken Sie auf den Link zu einem Kundennamen, um zum Unternehmensportal zu navigieren.
  3. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  4. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf Neu (New), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
  5. Konfigurieren Sie im Fenster Neues Nicht-SD-WAN-Ziel über Gateway (New Non SD-WAN Destination via Gateway) die folgenden Einstellungen:
    Option Beschreibung
    Name Geben Sie einen beschreibenden Namen für das Nicht-SD-WAN-Ziel ein.
    Typ (Type) Wählen Sie als Typ Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) aus.
    Primäres VPN-Gateway (Primary VPN Gateway) Geben Sie die IP-Adresse des primären POP ein, das zum Einrichten des VPN-Tunnels im Netskope-Portal verwendet wird.
    Sekundäres VPN-Gateway (Secondary VPN Gateway) Geben Sie die IP-Adresse des sekundären POP ein, das zum Einrichten des VPN-Tunnels im Netskope-Portal verwendet wird.
    Klicken Sie auf Weiter (Next).
  6. Konfigurieren Sie im nächsten Fenster die folgenden Einstellungen:
    Name und Typ (Type) des Nicht-SD-WAN-Ziels werden angezeigt. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), um den Tunnel zu aktivieren.
    Klicken Sie auf Erweitert (Advanced), um die anderen IPsec-Tunnelparameter für die primären und sekundären VPN-Gateways wie folgt zu konfigurieren:
    Option Beschreibung
    Verschlüsselung (Encryption) Wählen Sie den AES-Algorithmusschlüssel aus der Dropdown-Liste aus, um Daten zu verschlüsseln. Wenn Sie die Daten nicht verschlüsseln möchten, wählen Sie Null. Der Standardwert ist AES 128.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch des vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5, 14, 15 und 16. Es wird empfohlen, DH-Gruppe 14 zu verwenden.
    PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. Der Standardwert ist deaktiviert.
    Hash Wählen Sie den Authentifizierungsalgorithmus für die VPN-Kopfzeile aus der Dropdown-Liste aus. Die folgenden Secure Hasch Algorithm (SHA)-Optionen stehen zur Verfügung:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Der Standardwert ist SHA 256.

    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie die IKE SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 10 und 1440 Sekunden. Der Standardwert ist 1440 Sekunden.
    IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie die IPsec SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 3 und 480 Sekunden. Der Standardwert ist 480 Sekunden.
    DPD-Zeitüberschreitungstimer(Sek.) (DPD Timeout Timer(sec)) Geben Sie ein, wie lange das Gerät maximal auf den Empfang einer Antwort auf eine DPD-Nachricht warten soll, bevor der Peer als ausgefallen betrachtet wird. Der Standardwert beträgt 20 Sekunden. Sie können DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf null (0) konfigurieren.
    Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN): Aktivieren Sie das Kontrollkästchen, um die IPsec-Tunnel von der primären und sekundären SD-WAN Gateways aus einzurichten.
    Site-Subnetze (Site Subnets): Fügen Sie mit dem Plussymbol ( +) Subnetze für die Nicht-SD-WAN-Ziel hinzu. Wenn Sie keine Subnetze für die Site benötigen, aktivieren Sie das Kontrollkästchen Site-Subnetze deaktivieren (Deactivate Site Subnets).
    Lokale Authentifizierungs-ID (Local Auth Id): Wählen Sie die lokale Authentifizierungs-ID aus der Dropdown-Liste aus, um das Format und die Identifizierung des lokalen Gateways festzulegen. Die folgende Option ist verfügbar:
    • Standard (Default): Standardmäßig wird die öffentliche IP-Adresse der Schnittstelle des SD-WAN Gateway als lokale Authentifizierungs-ID verwendet.
    • FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: google.com.
    • Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected].
    • IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
    Klicken Sie auf Änderungen speichern (Save Changes) und schließen Sie das Fenster.

Ergebnisse

Das neue Nicht-SD-WAN-Ziel über Gateway wird im Fenster Netzwerkdienste (Network Services) angezeigt:

Nächste Maßnahme

Konfigurieren des Profils, um das neue Nicht-SD-WAN-Ziel über Gateway zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Profils mit einem Nicht-SD-WAN-Ziel über Gateway.