Μπορείτε να ορίσετε και να διαμορφώσετε μια παρουσία Προορισμός μη SD-WAN ως πύλη ασφαλείας Cloud Forcepoint και να δημιουργήσετε μια ασφαλή διοχέτευση IPSec στην πύλη ασφαλείας Cloud Forcepoint μέσω ενός VMware SD-WAN Edge.

Για να διαμορφώσετε έναν προορισμό μη SD-WAN μέσω Edge:

Προϋποθέσεις

Βεβαιωθείτε ότι έχετε δικαιώματα διαχειριστή για να συνδεθείτε στο VMware SD-WAN Orchestrator.

Διαδικασία

  1. Συνδεθείτε στο SD-WAN Orchestrator και μεταβείτε στη Διαχείριση πελατών (Manage Customers).
  2. Κάντε κλικ στη σύνδεση προς έναν πελάτη του οποίου η κυκλοφορία θα δρομολογηθεί στην πύλη ασφαλείας Cloud Forcepoint.
  3. Στην πύλη επιχείρησης, κάντε κλικ στο Διαμόρφωση (Configure) > Υπηρεσίες δικτύου (Network Services).
  4. Στο παράθυρο Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στην επιλογή Νέο (New) για να δημιουργήσετε έναν νέο προορισμό μη SD-WAN.
  5. Στο παράθυρο Νέος προορισμός μη SD-WAN μέσω Edge (New Non SD-WAN Destination via Edge), διαμορφώστε τα εξής:
    Επιλογή Περιγραφή
    Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα περιγραφικό όνομα για τον προορισμό μη SD-WAN.
    Τύπος υπηρεσίας (Service Type) Επιλέξτε τον τύπο Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) [Generic IKEv2 Router (Route Based VPN)].
    Κάντε κλικ στο κουμπί Επόμενο (Next).
  6. Στο επόμενο παράθυρο, διαμορφώστε τις ακόλουθες ρυθμίσεις:
    Κάντε κλικ στην επιλογή Για προχωρημένους (Advanced) για να διαμορφώσετε τις υπόλοιπες παραμέτρους διοχέτευσης IPsec για τις πρωτεύουσες και δευτερεύουσες πύλες VPN, ως εξής:
    Επιλογή Περιγραφή
    Κρυπτογράφηση (Encryption) Επιλέξτε AES-256 ως κλειδί αλγορίθμων AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων.
    Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group ως 14, ο οποίος θα χρησιμοποιηθεί κατά την ανταλλαγή του ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit.
    PFS Επιλέξτε το επίπεδο PFS (Perfect Forward Secrecy) ως Απενεργοποιήθηκε (Deactivated).
    Κατακερματισμός (Hash) Επιλέξτε τον αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN ως SHA 256 από την αναπτυσσόμενη λίστα.
    Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τη διάρκεια ζωής του IKE SA σε λεπτά. Η δημιουργία νέων κλειδιών θα πρέπει να ξεκινήσει για τα Edge πριν από τη λήξη του χρόνου. Το εύρος κυμαίνεται από 10 έως 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
    Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τη διάρκεια ζωής του IPsec SA σε λεπτά. Η δημιουργία νέων κλειδιών θα πρέπει να ξεκινήσει για τα Edge πριν από τη λήξη του χρόνου. Το εύρος κυμαίνεται από 3 έως 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
    Χρονόμετρο λήξης χρονικού ορίου DPD (δευτ.) [DPD Timeout Timer(sec)] Εισαγάγετε τον μέγιστο χρόνο που πρέπει να αναμένει μια συσκευή για να λάβει απάντηση σε ένα μήνυμα DPD, προτού θεωρήσει ότι η ομότιμη σύνδεση είναι εκτός λειτουργίας. Η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε μηδέν (0).
    Για τη δευτερεύουσα πύλη VPN, επιλέξτε το πλαίσιο ελέγχου Οι ρυθμίσεις διοχέτευσης είναι ίδιες με το πρωτεύον VPN (Tunnel settings are same as Primary VPN) για να διαμορφώσετε τις ρυθμίσεις διοχέτευσης με παρόμοιο τρόπο όπως την πρωτεύουσα πύλη VPN. Το Edge θα ρυθμιστεί με 2 διοχετεύσεις.
    Επιλέξτε τις προεπιλεγμένες τιμές για άλλες ρυθμίσεις.
    Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes) και κλείστε το παράθυρο.

Αποτελέσματα

Ο νέος προορισμός μη SD-WAN μέσω Edge θα εμφανιστεί στο παράθυρο Υπηρεσίες δικτύου (Network Services):

Επόμενες ενέργειες

Διαμορφώστε το προφίλ ώστε να χρησιμοποιεί τον νέο προορισμό μη SD-WAN μέσω Edge. Δείτε Διαμόρφωση προφίλ με προορισμό μη SD-WAN μέσω Edge.