Vous pouvez définir et configurer une instance de Destination non-SD-WAN comme Forcepoint Cloud Security Gateway et établir un tunnel IPSec sécurisé vers celle-ci via une passerelle VMware SD-WAN Gateway.

Pour configurer une destination non-SD-WAN via une passerelle :

Conditions préalables

Assurez-vous que vous disposez des privilèges d'administrateur pour vous connecter à VMware SD-WAN Orchestrator.

Procédure

  1. Connectez-vous à SD-WAN Orchestrator et accédez à Gérer les clients (Manage Customers).
  2. Cliquez sur le lien d'accès à un client dont le trafic est acheminé vers Forcepoint Cloud Security Gateway.
  3. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
  4. Dans le volet Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur Nouveau (New) pour créer une destination non-SD-WAN.
  5. Dans la fenêtre Nouvelle destination non-SD-WAN via une passerelle (New Non SD-WAN Destination via Gateway), configurez les éléments suivants :
    Option Description
    Nom (Name) Entrez un nom descriptif pour la destination non-SD-WAN.
    Type (Type) Sélectionnez le type Routeur IKEv2 générique (VPN basé sur un routeur) (Generic IKEv2 Router [Route Based VPN]).
    Passerelle VPN principale (Primary VPN Gateway) Entrez l'adresse IP du premier centre de données à partir de la configuration du Périphérique Edge (Edge Device) de Forcepoint Cloud Security Gateway.
    Passerelle VPN secondaire (Secondary VPN Gateway) Entrez l'adresse IP du second centre de données à partir de la configuration du Périphérique Edge (Edge Device) de Forcepoint Cloud Security Gateway.
    Cliquez sur Suivant (Next).
  6. Dans la fenêtre suivante, configurez les paramètres suivants :
    Le Nom (Name) et le Type de la destination non-SD-WAN s'affichent. Cochez la case Activer le ou les tunnels (Enable Tunnel[s]) pour activer le tunnel.
    Cliquez sur Avancé (Advanced) pour configurer les autres paramètres de tunnel IPsec pour les passerelles VPN principale et secondaire comme suit :
    Option Description
    PSK Entrez la clé prépartagée utilisée lors de la configuration du Périphérique Edge (Edge Device) dans Forcepoint Cloud Security Gateway.
    PSK de tunnel redondant (Redundant Tunnel PSK) Répétez la saisie de la clé prépartagée.
    Chiffrement (Encryption) Sélectionnez AES-256 comme clé d'algorithmes AES dans la liste déroulante pour chiffrer les données.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange de la clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) avec l'état désactivé (disabled).
    Hachage (Hash) Sélectionnez SHA 256 comme algorithme d'authentification pour l'en-tête VPN dans la liste déroulante.
    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Entrez la durée de vie de la SA IKE en minutes. Le renouvellement de clés doit être initié pour les dispositifs Edge avant l'expiration du délai. La plage est comprise entre 10 et 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Entrez la durée de vie de la SA IPsec en minutes. Le renouvellement de clés doit être initié pour les dispositifs Edge avant l'expiration du délai. La plage est comprise entre 3 et 480 minutes. La valeur par défaut est de 480 minutes.
    Temporisateur de délai d'expiration DPD (s) [DPD Timeout Timer(sec)] Entrez la durée maximale d'attente du périphérique pour recevoir une réponse à un message DPD avant de considérer l'homologue comme inactif. La valeur par défaut est de 20 secondes. Pour désactiver DPD, configurez le temporisateur de délai d'expiration de DPD sur Zéro (0).
    VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) : cochez cette case pour établir les tunnels IPSEC à partir des passerelles principale et secondaire.
    Sous-réseaux de site (Site Subnets) : ajoutez des sous-réseaux pour Destination non-SD-WAN à l'aide de l'icône Plus ( +). Si les sous-réseaux du site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux du site (Disable Site Subnets).

    ID d'authentification locale (Local Auth Id) : sélectionnez l'ID d'authentification locale comme Nom de domaine complet (FQDN) dans la liste déroulante et entrez le nom DNS utilisé lors de la configuration du Périphérique Edge (Edge Device) dans Forcepoint Cloud Security Gateway.

    Cliquez sur Enregistrer les modifications (Save Changes) et fermez la fenêtre.

Résultats

La nouvelle destination non-SD-WAN via une passerelle s'affiche dans la fenêtre Services réseau (Network Services) :

Que faire ensuite

Configurez le profil pour utiliser la nouvelle destination non-SD-WAN via une passerelle. Reportez-vous à la section Configurer le profil avec la destination non-SD-WAN via une passerelle.