Vous pouvez définir et configurer une instance de Destination non-SD-WAN comme Forcepoint Cloud Security Gateway et établir un tunnel IPSec sécurisé vers celle-ci via une passerelle VMware SD-WAN Edge.

Pour configurer une destination non-SD-WAN via un dispositif Edge :

Conditions préalables

Assurez-vous que vous disposez des privilèges d'administrateur pour vous connecter à VMware SD-WAN Orchestrator.

Procédure

  1. Connectez-vous à SD-WAN Orchestrator et accédez à Gérer les clients (Manage Customers).
  2. Cliquez sur le lien d'accès à un client dont le trafic est routé vers Forcepoint Cloud Security Gateway.
  3. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
  4. Dans le volet Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), cliquez sur Nouveau (New) pour créer une destination non-SD-WAN.
  5. Dans la fenêtre Nouvelle destination non-SD-WAN via un dispositif Edge (New Non SD-WAN Destination via Edge), configurez les éléments suivants :
    Option Description
    Nom du service (Service Name) Entrez un nom descriptif pour la destination non-SD-WAN.
    Type de service (Service Type) Sélectionnez le type Routeur IKEv2 générique (VPN basé sur un routeur) (Generic IKEv2 Router [Route Based VPN]).
    Cliquez sur Suivant (Next).
  6. Dans la fenêtre suivante, configurez les paramètres suivants :
    Cliquez sur Avancé (Advanced) pour configurer les autres paramètres de tunnel IPsec pour les passerelles VPN principale et secondaire comme suit :
    Option Description
    Chiffrement (Encryption) Sélectionnez AES-256 comme clé d'algorithmes AES dans la liste déroulante pour chiffrer les données.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) 14 utilisé lors de l'échange de la clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) avec l'état Désactivé (Deactivated).
    Hachage (Hash) Sélectionnez SHA 256 comme algorithme d'authentification pour l'en-tête VPN dans la liste déroulante.
    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Entrez la durée de vie de la SA IKE en minutes. Le renouvellement de clés doit être initié pour les dispositifs Edge avant l'expiration du délai. La plage est comprise entre 10 et 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Entrez la durée de vie de la SA IPsec en minutes. Le renouvellement de clés doit être initié pour les dispositifs Edge avant l'expiration du délai. La plage est comprise entre 3 et 480 minutes. La valeur par défaut est de 480 minutes.
    Temporisateur de délai d'expiration DPD (s) [DPD Timeout Timer(sec)] Entrez la durée maximale d'attente du périphérique pour recevoir une réponse à un message DPD avant de considérer l'homologue comme inactif. La valeur par défaut est de 20 secondes. Pour désactiver DPD, configurez le temporisateur de délai d'expiration de DPD sur Zéro (0).
    Pour la passerelle VPN secondaire, cochez la case Les paramètres du tunnel sont identiques à la passerelle VPN principale (Tunnel settings are same as Primary VPN) pour configurer les paramètres de tunnel semblables à la passerelle VPN principale. Le dispositif Edge est configuré avec 2 tunnels.
    Choisissez les valeurs par défaut pour d'autres paramètres.
    Cliquez sur Enregistrer les modifications (Save Changes) et fermez la fenêtre.

Résultats

La nouvelle destination non-SD-WAN via un dispositif Edge s'affiche dans la fenêtre Services réseau (Network Services) :

Que faire ensuite

Configurez le profil pour utiliser la nouvelle destination non-SD-WAN via un dispositif Edge. Reportez-vous à la section Configurer le profil avec la destination non-SD-WAN via un dispositif Edge.