Konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway in SD-WAN Orchestrator, um einen sicheren IPSec-Tunnel zum Netskope-Portal über SD-WAN Gateway einzurichten.
So konfigurieren Sie ein Nicht-SD-WAN-Ziel über Gateway:
Voraussetzungen
Sie müssen bereits einen IPsec-Tunnel im Netskope NG SWG-Portal konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von VPN-Anmeldeinformationen im Netskope-Portal.
Prozedur
- Melden Sie sich bei SD-WAN Orchestrator an und stellen Sie sicher, dass die Kundeninstanzen erstellt und die Edges online sind.
- Klicken Sie auf den Link zu einem Kundennamen, um zum Unternehmensportal zu navigieren.
- Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
- Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf Neu (New), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
- Konfigurieren Sie im Fenster Neues Nicht-SD-WAN-Ziel über Gateway (New Non SD-WAN Destination via Gateway) die folgenden Einstellungen:
Option Beschreibung Name Geben Sie einen beschreibenden Namen für das Nicht-SD-WAN-Ziel ein. Typ (Type) Wählen Sie als Typ Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN)) aus. Primäres VPN-Gateway (Primary VPN Gateway) Geben Sie die IP-Adresse des primären POP ein, das zum Einrichten des VPN-Tunnels im Netskope-Portal verwendet wird. Sekundäres VPN-Gateway (Secondary VPN Gateway) Geben Sie die IP-Adresse des sekundären POP ein, das zum Einrichten des VPN-Tunnels im Netskope-Portal verwendet wird. Klicken Sie auf Weiter (Next). - Konfigurieren Sie im nächsten Fenster die folgenden Einstellungen:
Name und Typ (Type) des Nicht-SD-WAN-Ziels werden angezeigt. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), um den Tunnel zu aktivieren.Klicken Sie auf Erweitert (Advanced), um die anderen IPsec-Tunnelparameter für die primären und sekundären VPN-Gateways wie folgt zu konfigurieren:
Option Beschreibung Verschlüsselung (Encryption) Wählen Sie den AES-Algorithmusschlüssel aus der Dropdown-Liste aus, um Daten zu verschlüsseln. Wenn Sie die Daten nicht verschlüsseln möchten, wählen Sie Null. Der Standardwert ist AES 128. DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch des vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5, 14, 15 und 16. Es wird empfohlen, DH-Gruppe 14 zu verwenden. PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. Der Standardwert ist deaktiviert. Hash Wählen Sie den Authentifizierungsalgorithmus für die VPN-Kopfzeile aus der Dropdown-Liste aus. Die folgenden Secure Hasch Algorithm (SHA)-Optionen stehen zur Verfügung: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Der Standardwert ist SHA 256.
IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Geben Sie die IKE SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 10 und 1440 Sekunden. Der Standardwert ist 1440 Sekunden. IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min)) Geben Sie die IPsec SA-Lebensdauer in Minuten ein. Die Neuverschlüsselung sollte für Edges eingeleitet werden, bevor die Zeit abläuft. Der Bereich liegt zwischen 3 und 480 Sekunden. Der Standardwert ist 480 Sekunden. DPD-Zeitüberschreitungstimer(Sek.) (DPD Timeout Timer(sec)) Geben Sie ein, wie lange das Gerät maximal auf den Empfang einer Antwort auf eine DPD-Nachricht warten soll, bevor der Peer als ausgefallen betrachtet wird. Der Standardwert beträgt 20 Sekunden. Sie können DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf null (0) konfigurieren. Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN): Aktivieren Sie das Kontrollkästchen, um die IPsec-Tunnel von der primären und sekundären SD-WAN Gateways aus einzurichten.Site-Subnetze (Site Subnets): Fügen Sie mit dem Plussymbol ( +) Subnetze für die Nicht-SD-WAN-Ziel hinzu. Wenn Sie keine Subnetze für die Site benötigen, aktivieren Sie das Kontrollkästchen Site-Subnetze deaktivieren (Deactivate Site Subnets).Lokale Authentifizierungs-ID (Local Auth Id): Wählen Sie die lokale Authentifizierungs-ID aus der Dropdown-Liste aus, um das Format und die Identifizierung des lokalen Gateways festzulegen. Die folgende Option ist verfügbar:- Standard (Default): Standardmäßig wird die öffentliche IP-Adresse der Schnittstelle des SD-WAN Gateway als lokale Authentifizierungs-ID verwendet.
- FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: google.com.
- Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected].
- IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
Klicken Sie auf Änderungen speichern (Save Changes) und schließen Sie das Fenster.
Ergebnisse
Das neue Nicht-SD-WAN-Ziel über Gateway wird im Fenster Netzwerkdienste (Network Services) angezeigt:
Nächste Maßnahme
Konfigurieren des Profils, um das neue Nicht-SD-WAN-Ziel über Gateway zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Profils mit einem Nicht-SD-WAN-Ziel über Gateway.