Puede definir y configurar una instancia de Destino que no es de SD-WAN como Forcepoint Cloud Security Gateway y establecer un túnel de IPsec seguro a Forcepoint Cloud Security Gateway a través de una instancia de VMware SD-WAN Edge.

Para configurar un destino que no es de SD-WAN a través de Edge:

Requisitos previos

Asegúrese de tener privilegios de administrador para iniciar sesión en VMware SD-WAN Orchestrator.

Procedimiento

  1. Inicie sesión en SD-WAN Orchestrator y desplácese hasta Administrar clientes (Manage Customers).
  2. Haga clic en el vínculo a un cliente cuyo tráfico se enrutará a Forcepoint Cloud Security Gateway.
  3. En el portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
  4. En el panel Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge), haga clic en Nuevo (New) para crear un nuevo destino que no sea de SD-WAN.
  5. En la ventana Nuevo destino que no es de SD-WAN a través de Edge (New Non SD-WAN Destination via Edge), configure los siguientes elementos:
    Opción Descripción
    Nombre del servicio (Service Name) Introduzca un nombre descriptivo para el destino que no es de SD- WAN.
    Tipo de servicio (Service Type) Seleccione el tipo Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]).
    Haga clic en Siguiente (Next).
  6. En la siguiente ventana, configure los siguientes ajustes:
    Haga clic en Avanzado (Advanced) para configurar los otros parámetros de túnel de IPsec para las puertas de enlace de VPN principal y secundaria, de la siguiente manera:
    Opción Descripción
    Cifrado (Encryption) Seleccione AES-256 como clave de algoritmos AES de la lista desplegable, para cifrar los datos.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) como 14; se utilizará al intercambiar la clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) como Desactivado (Deactivated).
    Hash Seleccione el algoritmo de autenticación para el encabezado de VPN SHA 256 en la lista desplegable.
    Duración de SA de IKE (IKE SA Lifetime) (min) Introduzca la duración de SA de IKE en minutos. La regeneración de claves debe iniciarse para las instancias de Edge antes de que caduque el tiempo. El rango oscila entre 10 y 1440 minutos. El valor predeterminado es 1440 minutos.
    Duración de SA de IPsec (IPsec SA Lifetime) (min) Introduzca la duración de SA de IPsec en minutos. La regeneración de claves debe iniciarse para las instancias de Edge antes de que caduque el tiempo. El rango es de 3 a 480 minutos. El valor predeterminado es 480 minutos.
    Temporizador de tiempo de espera de DPD (s) (DPD Timeout Timer(sec)) Introduzca el tiempo máximo que el dispositivo debe esperar para recibir una respuesta a un mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo. El valor predeterminado es 20 segundos. Puede desactivar DPD si configura el temporizador de tiempo de espera de DPD en cero (0) segundos.
    Para la puerta de enlace de VPN secundaria, seleccione la casilla de verificación La configuración de túnel es igual que la puerta de enlace VPN principal (Tunnel settings are same as Primary VPN Gateway) para configurar los ajustes de túnel similares a la puerta de enlace de VPN principal. La instancia de Edge se configurará con 2 túneles.
    Elija los valores predeterminados para otros ajustes.
    Haga clic en Guardar cambios (Save Changes) y cierre la ventana.

Resultados

El nuevo destino que no es de SD-WAN a través de Edge se muestra en la ventana Servicios de red (Network Services):

Qué hacer a continuación

Configure el perfil para que use el nuevo destino que no es de SD-WAN a través de Edge. Consulte Configurar un perfil con un destino que no es de SD-WAN a través de Edge.