L'instance de SD-WAN Gateway se connecte au service Check Point CloudGuard à l'aide d'IKEv1/IPsec. Il existe deux étapes de configuration d'une instance de Check Point : configuration du service Check Point CloudGuard et configuration de Destination non-SD-WAN de type Check Point. Vous devez effectuer la première étape sur le portail Infinity de Check Point et la seconde étape, sur SASE Orchestrator.
Configurer le service Check Point CloudGuard
- Connectez-vous au portail Infinity de Check Point à l'aide du lien https://portal.checkpoint.com/.
- Une fois connecté, créez un site sur le portail Infinity de Check Point à l'aide du lien https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html.
Configurer une destination non-SD-WAN de type Check Point
- Une fois que vous avez créé une configuration Destination non-SD-WAN de type Check Point, vous êtes redirigé vers une page d'options de configuration supplémentaires :
- Vous pouvez configurer les paramètres de tunnel suivants :
Option Description Général (General) Nom (Name) Vous pouvez modifier le nom entré précédemment pour Destination non-SD-WAN. Type Affiche le type Check Point. Vous ne pouvez pas modifier cette option. Activer le ou les tunnels (Enable Tunnel[s]) Cliquez sur le bouton bascule pour initier le ou les tunnels de SD-WAN Gateway vers la passerelle VPN de Check Point. Méthode de partage de charge ECMP L'algorithme par défaut Basé sur la charge de flux (Flow Load Based) mappe le nouveau flux au chemin avec le moins de flux mappés parmi les chemins disponibles vers la destination. L'algorithme Basé sur la charge de hachage (Hash Load Based) prend les paramètres d'entrée d'un tuple comprenant 5 éléments (SrcIP, DestIP, SrcPort, DestPort, Protocol). Ces entrées peuvent correspondre à n'importe quelle valeur, à la totalité des valeurs ou à n'importe quel sous-ensemble de ce tuple selon la configuration de l'utilisateur. Le flux est mappé au chemin en fonction de la valeur de hachage avec les entrées sélectionnées. Passerelle VPN 1 Entrez une adresse IP valide. Passerelle VPN 2 Entrez une adresse IP valide. Ce champ est facultatif. Passerelle VPN 3 Entrez une adresse IP valide. Ce champ est facultatif. Passerelle VPN 4 Entrez une adresse IP valide. Ce champ est facultatif. Adresse IP publique (Public IP) Affiche l'adresse IP de la passerelle VPN principale. PSK La clé prépartagée (PSK) est la clé de sécurité pour l'authentification sur le tunnel. Par défaut, SASE Orchestrator génère une clé prépartagée (PSK). Si vous souhaitez utiliser votre propre PSK ou mot de passe, entrez-le dans la zone de texte. Chiffrement (Encryption) Sélectionnez AES-128 ou AES-256 comme taille de clé d'algorithme AES pour le chiffrement des données. La valeur par défaut est AES-128. Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) dans le menu déroulant. Il est utilisé pour générer du matériel de génération de clés. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5 et 14. La valeur par défaut est de 2. PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont désactivé, 2 et 5. La valeur par défaut est de 2. VPN VMware Cloud redondant (Redundant VMware Cloud VPN) Cochez cette case pour ajouter des tunnels redondants pour chaque passerelle VPN. Les modifications apportées à Chiffrement (Encryption), à Groupe DH (DH Group) ou à PFS de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés. Passerelle VPN secondaire (Secondary VPN Gateway) Cliquez sur le bouton Ajouter (Add), puis entrez l'adresse IP de la passerelle VPN secondaire. Cliquez sur Enregistrer les modifications (Save Changes). La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.
ID d'authentification locale (Local Auth Id) L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le menu déroulant, choisissez parmi les types suivants et entrez une valeur : - Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par exemple : vmware.com
- Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de l'utilisateur sous la forme d'une adresse e-mail. Par exemple : [email protected]
- IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.
- IPv6 : adresse IP utilisée pour communiquer avec la passerelle locale.
Note :- Si vous ne spécifiez aucune valeur, l'option Par défaut (Default) est utilisée comme ID d'authentification locale.
- Pour l'instance de Destination non-SD-WAN Checkpoint, la valeur d'ID d'authentification locale par défaut utilisée est Adresse IP publique d'interface (Interface Public IP) de SD-WAN Gateway.
Exemple IKE/IPSec (Sample IKE / IPsec) Cliquez pour afficher les informations nécessaires à la configuration de la passerelle Destination non-SD-WAN. L'administrateur de passerelle doit utiliser ces informations pour configurer le ou les tunnels VPN de passerelle. Emplacement (Location) Cliquez sur Modifier (Edit) pour définir l'emplacement de l'instance de Destination non-SD-WAN configurée. Les détails de la latitude et de la longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à connecter au réseau. Sous-réseaux de site (Site Subnets) Utilisez le bouton bascule pour activer ou désactiver l'option Sous-réseaux de site (Site Subnets). Cliquez sur Ajouter (Add) pour ajouter des sous-réseaux à la Destination non-SD-WAN. Si les sous-réseaux du site ne sont pas nécessaires pour le site, sélectionnez le sous-réseau et cliquez sur Supprimer (Delete). Note : Pour prendre en charge le type de centre de données de Destination non-SD-WAN, outre la connexion IPsec, vous devez configurer des sous-réseaux locaux Destination non-SD-WAN dans le système VMware. - Cliquez sur Enregistrer les modifications (Save Changes).
Conditions préalables
Vous devez disposer d'un compte Check Point actif et d'informations d'identification de connexion pour accéder au portail Infinity de Check Point.