Puede definir y configurar una instancia de Destino que no es de SD-WAN como Forcepoint Cloud Security Gateway y establecer un túnel de IPsec seguro a Forcepoint Cloud Security Gateway a través de una instancia de VMware SD-WAN Gateway.

Para configurar un destino que no es de SD-WAN a través de la puerta de enlace:

Requisitos previos

Asegúrese de tener privilegios de administrador para iniciar sesión en VMware SD-WAN Orchestrator.

Procedimiento

  1. Inicie sesión en SD-WAN Orchestrator y desplácese hasta Administrar clientes (Manage Customers).
  2. Haga clic en el vínculo a un cliente cuyo tráfico se enrutará a Forcepoint Cloud Security Gateway.
  3. En el portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
  4. En el panel Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en Nuevo (New) para crear un nuevo destino que no sea de SD-WAN.
  5. En Nuevo destino que no es de SD-WAN a través de la puerta de enlace (New Non SD-WAN Destination via Gateway), configure los siguientes elementos:
    Opción Descripción
    Nombre (Name) Introduzca un nombre descriptivo para el destino que no es de SD- WAN.
    Tipo (Type) Seleccione el tipo Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]).
    Puerta de enlace VPN principal (Primary VPN Gateway) Introduzca la dirección IP del primer centro de datos de la configuración de Dispositivo Edge (Edge Device) de Forcepoint Cloud Security Gateway.
    Puerta de enlace VPN secundaria (Secondary VPN Gateway) Introduzca la dirección IP del segundo centro de datos de la configuración de Dispositivo Edge (Edge Device) de Forcepoint Cloud Security Gateway.
    Haga clic en Siguiente (Next).
  6. En la siguiente ventana, configure los siguientes ajustes:
    Se mostrarán el Nombre (Name) y el Tipo (Type) del destino que no es de SD-WAN. Seleccione la casilla de verificación Habilitar túneles (Enable Tunnel[s]) para habilitar el túnel.
    Haga clic en Avanzado (Advanced) para configurar los otros parámetros de túnel de IPsec para las puertas de enlace de VPN principal y secundaria, de la siguiente manera:
    Opción Descripción
    PSK Introduzca la clave compartida previamente que se utiliza para configurar el Dispositivo Edge (Edge Device) en Forcepoint Cloud Security Gateway.
    PSK de túnel redundante Repita la entrada de la clave compartida previamente.
    Cifrado (Encryption) Seleccione AES-256 como clave de algoritmos AES de la lista desplegable, para cifrar los datos.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar la clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) como desactivado (deactivated).
    Hash Seleccione el algoritmo de autenticación para el encabezado de VPN SHA 256 en la lista desplegable.
    Duración de SA de IKE (IKE SA Lifetime) (min) Introduzca la duración de SA de IKE en minutos. La regeneración de claves debe iniciarse para las instancias de Edge antes de que caduque el tiempo. El rango oscila entre 10 y 1440 minutos. El valor predeterminado es 1440 minutos.
    Duración de SA de IPsec (IPsec SA Lifetime) (min) Introduzca la duración de SA de IPsec en minutos. La regeneración de claves debe iniciarse para las instancias de Edge antes de que caduque el tiempo. El rango es de 3 a 480 minutos. El valor predeterminado es 480 minutos.
    Temporizador de tiempo de espera de DPD (s) (DPD Timeout Timer(sec)) Introduzca el tiempo máximo que el dispositivo debe esperar para recibir una respuesta a un mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo. El valor predeterminado es 20 segundos. Puede desactivar DPD si configura el temporizador de tiempo de espera de DPD en cero (0) segundos.
    VPN de nube de VeloCloud redundante (Redundant VeloCloud Cloud VPN): seleccione la casilla de verificación para establecer los túneles de IPsec en las puertas de enlace principal y secundaria.
    Subredes de sitio (Site Subnets): agregue subredes para Destino que no es de SD-WAN con el icono de signo más ( +). Si no necesita subredes para el sitio, seleccione la casilla de verificación Desactivar subredes de sitio (Deactivate Site Subnets).

    Identificador de autenticación local (Local Auth Id): seleccione el identificador de autenticación local como FQDN de la lista desplegable e introduzca el nombre de DNS utilizado durante la configuración del Dispositivo Edge (Edge Device) en Forcepoint Cloud Security Gateway.

    Haga clic en Guardar cambios (Save Changes) y cierre la ventana.

Resultados

El nuevo destino que no es de SD-WAN a través de la puerta de enlace se muestra en la ventana Servicios de red (Network Services):

Qué hacer a continuación

Configure el perfil para que use el nuevo destino que no es de SD-WAN a través de la puerta de enlace. Consulte Configurar un perfil con un destino que no es SD-WAN a través de la puerta de enlace.