Μπορείτε να ορίσετε και να διαμορφώσετε μια παρουσία Προορισμός μη SD-WAN ως πύλη ασφαλείας Cloud Forcepoint και να δημιουργήσετε μια ασφαλή διοχέτευση IPSec στην πύλη ασφαλείας Cloud Forcepoint μέσω ενός Πύλη VMware SD-WAN.

Για να διαμορφώσετε έναν προορισμό μη SD-WAN μέσω πύλης:

Προϋποθέσεις

Βεβαιωθείτε ότι έχετε δικαιώματα διαχειριστή για να συνδεθείτε στο VMware SD-WAN Orchestrator.

Διαδικασία

  1. Συνδεθείτε στο SD-WAN Orchestrator και μεταβείτε στη Διαχείριση πελατών (Manage Customers).
  2. Κάντε κλικ στη σύνδεση προς έναν πελάτη του οποίου η κυκλοφορία θα δρομολογηθεί στην πύλη ασφαλείας Cloud Forcepoint.
  3. Στην πύλη επιχείρησης, κάντε κλικ στο Διαμόρφωση (Configure) > Υπηρεσίες δικτύου (Network Services).
  4. Στο παράθυρο Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στην επιλογή Νέο (New) για να δημιουργήσετε έναν νέο μη SD-WAN προορισμό.
  5. Στο παράθυρο Νέος προορισμός μη SD-WAN μέσω πύλης (New Non SD-WAN Destination via Gateway), διαμορφώστε τα εξής:
    Επιλογή Περιγραφή
    Όνομα (Name) Εισαγάγετε ένα περιγραφικό όνομα για τον προορισμό μη SD-WAN.
    Τύπος (Type) Επιλέξτε τον τύπο Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)].
    Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Εισαγάγετε τη διεύθυνση IP του πρώτου κέντρου δεδομένων από τη διαμόρφωση Συσκευή Edge (Edge Device) πύλης ασφαλείας Cloud Forcepoint.
    Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) Εισαγάγετε τη διεύθυνση IP του δεύτερου κέντρου δεδομένων από τη διαμόρφωση Συσκευή Edge (Edge Device) πύλης ασφαλείας Cloud Forcepoint.
    Κάντε κλικ στο κουμπί Επόμενο (Next).
  6. Στο επόμενο παράθυρο, διαμορφώστε τις ακόλουθες ρυθμίσεις:
    Θα εμφανιστούν τα στοιχεία Όνομα (Name) και Τύπος (Type) του προορισμού μη SD-WAN. Επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση διοχέτευσης (Enable Tunnel(s)) για να ενεργοποιήσετε τη διοχέτευση.
    Κάντε κλικ στην επιλογή Για προχωρημένους (Advanced) για να διαμορφώσετε τις υπόλοιπες παραμέτρους διοχέτευσης IPsec για τις πρωτεύουσες και δευτερεύουσες πύλες VPN, ως εξής:
    Επιλογή Περιγραφή
    PSK Εισαγάγετε το ήδη κοινόχρηστο κλειδί που χρησιμοποιείται για τη διαμόρφωση της Συσκευής Edge (Edge Device) στην πύλη ασφαλείας Cloud Forcepoint.
    Πλεονάζον PSK διοχέτευσης (Redundant Tunnel PSK) Επαναλάβετε την εισαγωγή του ήδη κοινόχρηστου κλειδιού.
    Κρυπτογράφηση (Encryption) Επιλέξτε AES-256 ως κλειδί αλγορίθμων AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων.
    Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group που θα χρησιμοποιηθεί κατά την ανταλλαγή του ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit.
    PFS Επιλέξτε το επίπεδο PFS (Perfect Forward Secrecy) ως Απενεργοποιήθηκε (Deactivated).
    Κατακερματισμός (Hash) Επιλέξτε τον αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN ως SHA 256 από την αναπτυσσόμενη λίστα.
    Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τη διάρκεια ζωής του IKE SA σε λεπτά. Η δημιουργία νέων κλειδιών θα πρέπει να ξεκινήσει για τα Edge πριν από τη λήξη του χρόνου. Το εύρος κυμαίνεται από 10 έως 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
    Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τη διάρκεια ζωής του IPsec SA σε λεπτά. Η δημιουργία νέων κλειδιών θα πρέπει να ξεκινήσει για τα Edge πριν από τη λήξη του χρόνου. Το εύρος κυμαίνεται από 3 έως 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
    Χρονόμετρο λήξης χρονικού ορίου DPD (δευτ.) [DPD Timeout Timer(sec)] Εισαγάγετε τον μέγιστο χρόνο που πρέπει να αναμένει μια συσκευή για να λάβει απάντηση σε ένα μήνυμα DPD, προτού θεωρήσει ότι η ομότιμη σύνδεση είναι εκτός λειτουργίας. Η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε μηδέν (0).
    Πλεονάζον VeloCloud Cloud VPN (Redundant VeloCloud Cloud VPN) – Επιλέξτε το πλαίσιο ελέγχου για να δημιουργήσετε τις διοχετεύσεις IPSEC από τις πρωτεύουσες και δευτερεύουσες πύλες.
    Υποδίκτυα τοποθεσίας (Site Subnets) – Προσθέστε υποδίκτυα για το Προορισμός μη SD-WAN χρησιμοποιώντας το εικονίδιο Συν ( +). Εάν δεν χρειάζεστε υποδίκτυα για την τοποθεσία, επιλέξτε το πλαίσιο ελέγχου Απενεργοποίηση υποδικτύων τοποθεσίας (Deactivate Site Subnets).

    Αναγνωριστικό τοπικού ελέγχου ταυτότητας (Local Auth Id) – Επιλέξτε το αναγνωριστικό τοπικού ελέγχου ταυτότητας ως FQDN από την αναπτυσσόμενη λίστα και εισαγάγετε το όνομα DNS που χρησιμοποιήθηκε κατά τη διαμόρφωση της Συσκευής Edge (Edge Device) στην πύλη ασφαλείας Cloud Forcepoint.

    Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes) και κλείστε το παράθυρο.

Αποτελέσματα

Ο νέος προορισμός μη SD-WAN μέσω πύλης θα εμφανιστεί στο παράθυρο Υπηρεσίες δικτύου (Network Services):

Επόμενες ενέργειες

Διαμορφώστε το προφίλ ώστε να χρησιμοποιεί τον νέο προορισμό μη SD-WAN μέσω πύλης. Δείτε Διαμόρφωση προφίλ με προορισμό μη SD-WAN μέσω πύλης.