Configurez une destination non-SD-WAN via une passerelle dans SD-WAN Orchestrator pour établir un tunnel IPSec sécurisé vers le portail Netskope via SD-WAN Gateway.

Pour configurer une destination non-SD-WAN via une passerelle :

Conditions préalables

Assurez-vous que vous avez déjà configuré un tunnel IPsec dans le portail Netskope NG SWG. Reportez-vous à la section Configurer les informations d'identification VPN sur le portail Netskope.

Procédure

  1. Connectez-vous à SD-WAN Orchestrator et vérifiez que les instances des clients sont créées et que les dispositifs Edge sont en ligne.
  2. Cliquez sur le lien vers un nom de client pour accéder au portail de l'entreprise.
  3. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
  4. Dans le volet Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur Nouveau (New) pour créer une destination non-SD-WAN.
  5. Dans la fenêtre Nouvelle destination non-SD-WAN via une passerelle (New Non SD-WAN Destination via Gateway), configurez les éléments suivants :
    Option Description
    Nom (Name) Entrez un nom descriptif pour la destination non-SD-WAN.
    Type Sélectionnez le type Routeur IKEv2 générique (VPN basé sur un routeur) (Generic IKEv2 Router [Route Based VPN]).
    Passerelle VPN principale (Primary VPN Gateway) Entrez l'adresse IP du POP principal utilisé pour configurer le tunnel VPN dans le portail Netskope.
    Passerelle VPN secondaire (Secondary VPN Gateway) Entrez l'adresse IP du POP secondaire utilisé pour configurer le tunnel VPN dans le portail Netskope.
    Cliquez sur Suivant (Next).
  6. Dans la fenêtre suivante, configurez les paramètres suivants :
    Le Nom (Name) et le Type de la destination non-SD-WAN s'affichent. Cochez la case Activer le ou les tunnels (Enable Tunnel[s]) pour activer le tunnel.
    Cliquez sur Avancé (Advanced) pour configurer les autres paramètres de tunnel IPsec pour les passerelles VPN principale et secondaire comme suit :
    Option Description
    Chiffrement (Encryption) Sélectionnez la clé d'algorithmes AES dans la liste déroulante pour chiffrer les données. Si vous ne souhaitez pas chiffrer les données, sélectionnez Nul (Null). La valeur par défaut est AES 128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange de la clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est recommandé d'utiliser le groupe DH 14.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. La valeur par défaut est désactivée.
    Hachage (Hash) Sélectionnez l'algorithme d'authentification pour l'en-tête VPN dans la liste déroulante. Les options SHA (Secure Hash Algorithm) suivantes sont disponibles :
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    La valeur par défaut est SHA 256.
    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Entrez la durée de vie de la SA IKE en minutes. Le renouvellement de clés doit être initié pour les dispositifs Edge avant l'expiration du délai. La plage est comprise entre 10 et 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Entrez la durée de vie de la SA IPsec en minutes. Le renouvellement de clés doit être initié pour les dispositifs Edge avant l'expiration du délai. La plage est comprise entre 3 et 480 minutes. La valeur par défaut est de 480 minutes.
    Temporisateur de délai d'expiration DPD (s) [DPD Timeout Timer(sec)] Entrez la durée maximale d'attente du périphérique pour recevoir une réponse à un message DPD avant de considérer l'homologue comme inactif. La valeur par défaut est de 20 secondes. Pour désactiver DPD, configurez le temporisateur de délai d'expiration de DPD sur Zéro (0).
    VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) : cochez cette case pour établir les tunnels IPSEC à partir des sites Passerelles SD-WAN Gateway principal et secondaire.
    Sous-réseaux de site (Site Subnets) : ajoutez des sous-réseaux pour Destination non-SD-WAN à l'aide de l'icône Plus ( +). Si les sous-réseaux du site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux de site (Deactivate Site Subnets).
    ID d'authentification locale (Local Auth Id) : sélectionnez l'ID d'authentification locale dans la liste déroulante pour définir le format et l'identification de la passerelle locale. Les options suivantes sont disponibles :
    • Par défaut (Default) : par défaut, l'adresse IP publique de l'interface de la passerelle SD-WAN Gateway est utilisée comme ID d'authentification locale.
    • Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par exemple, google.com.
    • Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de l'utilisateur sous la forme d'une adresse e-mail. Par exemple, [email protected].
    • IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.
    Cliquez sur Enregistrer les modifications (Save Changes) et fermez la fenêtre.

Résultats

La nouvelle destination non-SD-WAN via une passerelle s'affiche dans la fenêtre Services réseau (Network Services) :

Que faire ensuite

Configurez le profil pour utiliser la nouvelle destination non-SD-WAN via une passerelle. Reportez-vous à la section Configurer le profil avec la destination non-SD-WAN via une passerelle.