Configure un destino que no es de SD-WAN a través de la puerta de enlace en SD-WAN Orchestrator para establecer un túnel de IPsec seguro hacia el portal de Netskope a través de SD-WAN Gateway.

Para configurar un destino que no es de SD-WAN a través de la puerta de enlace:

Requisitos previos

Asegúrese de haber configurado un túnel de IPsec en el portal de Netskope NG SWG. Consulte Configurar credenciales de VPN en el portal de Netskope.

Procedimiento

  1. Inicie sesión en SD-WAN Orchestrator y compruebe que las instancias de clientes se hayan creado y que las instancias de Edge estén en línea.
  2. Haga clic en el vínculo a un nombre de cliente para acceder al portal de empresas.
  3. En el portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
  4. En el panel Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en Nuevo (New) para crear un nuevo destino que no sea de SD-WAN.
  5. En Nuevo destino que no es de SD-WAN a través de la puerta de enlace (New Non SD-WAN Destination via Gateway), configure los siguientes elementos:
    Opción Descripción
    Nombre Introduzca un nombre descriptivo para el destino que no es de SD- WAN.
    Tipo Seleccione el tipo Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN]).
    Puerta de enlace VPN principal (Primary VPN Gateway) Introduzca la dirección IP del POP principal que se utiliza para configurar el túnel de VPN en el portal de Netskope.
    Puerta de enlace VPN secundaria (Secondary VPN Gateway) Introduzca la dirección IP del POP secundario que se utiliza para configurar el túnel de VPN en el portal de Netskope.
    Haga clic en Siguiente (Next).
  6. En la siguiente ventana, configure los siguientes ajustes:
    Se mostrarán el Nombre (Name) y el Tipo (Type) del destino que no es de SD-WAN. Seleccione la casilla de verificación Habilitar túneles (Enable Tunnel[s]) para activar el túnel.
    Haga clic en Avanzado (Advanced) para configurar los otros parámetros de túnel de IPsec para las puertas de enlace de VPN principal y secundaria, de la siguiente manera:
    Opción Descripción
    Cifrado (Encryption) Seleccione la clave de algoritmos AES en la lista desplegable para cifrar los datos. Si no desea cifrar los datos, seleccione Nulo (Null). El valor predeterminado es AES 128.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar la clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15 y 16. Se recomienda utilizar el grupo de DH 14.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. El valor predeterminado está desactivado.
    Hash Seleccione el algoritmo de autenticación para el encabezado de VPN en la lista desplegable. Las siguientes opciones de algoritmo de hash seguro (SHA) están disponibles:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    El valor predeterminado es SHA 256.
    Duración de SA de IKE (IKE SA Lifetime) (min) Introduzca la duración de SA de IKE en minutos. La regeneración de claves debe iniciarse para las instancias de Edge antes de que caduque el tiempo. El rango oscila entre 10 y 1440 minutos. El valor predeterminado es 1440 minutos.
    Duración de SA de IPsec (IPsec SA Lifetime) (min) Introduzca la duración de SA de IPsec en minutos. La regeneración de claves debe iniciarse para las instancias de Edge antes de que caduque el tiempo. El rango es de 3 a 480 minutos. El valor predeterminado es 480 minutos.
    Temporizador de tiempo de espera de DPD (s) (DPD Timeout Timer(sec)) Introduzca el tiempo máximo que el dispositivo debe esperar para recibir una respuesta a un mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo. El valor predeterminado es 20 segundos. Puede desactivar DPD si configura el temporizador de tiempo de espera de DPD en cero (0) segundos.
    VPN de nube de VeloCloud redundante (Redundant VeloCloud Cloud VPN): seleccione la casilla de verificación para establecer los túneles de IPsec en la instancia de Instancias de SD-WAN Gatewayprincipal y secundaria.
    Subredes de sitio (Site Subnets): agregue subredes para Destino que no es de SD-WAN con el icono de signo más ( +). Si no necesita subredes para el sitio, seleccione la casilla de verificación Desactivar subredes de sitio (Deactivate Site Subnets).
    Identificador de autenticación local (Local Auth Id): seleccione el identificador de autenticación local de la lista desplegable para definir el formato y la identificación de la puerta de enlace local. Las siguientes opciones están disponibles:
    • Predeterminado (Default): de forma predeterminada, la dirección IP pública de la interfaz de SD-WAN Gateway se utiliza como el identificador de autenticación local.
    • FQDN: el nombre de dominio completo o el nombre de host. Por ejemplo, google.com.
    • FQDN de usuario (User FQDN): el nombre de dominio completo del usuario en forma de dirección de correo electrónico. Por ejemplo, [email protected].
    • IPv4: la dirección IP utilizada para comunicarse con la puerta de enlace local.
    Haga clic en Guardar cambios (Save Changes) y cierre la ventana.

Resultados

El nuevo destino que no es de SD-WAN a través de la puerta de enlace se muestra en la ventana Servicios de red (Network Services):

Qué hacer a continuación

Configure el perfil para que use el nuevo destino que no es de SD-WAN a través de la puerta de enlace. Consulte Configurar un perfil con un destino que no es de SD-WAN a través de la puerta de enlace.