SD-WAN Gateway si connette al servizio Check Point CloudGard utilizzando IKEv1/IPsec. I passaggi per configurare un Check Point sono due: configurazione del servizio Check Point CloudGuard e configurazione di destinazione non SD-WAN di tipo Check Point. È necessario eseguire il primo passaggio nel portale di Check Point Infinity e il secondo passaggio in SASE Orchestrator.

Configurazione del servizio Check Point CloudGuard
  1. Accedere al portale di Check Point Infinity utilizzando il link https://portal.checkpoint.com/.
  2. Una volta effettuato l'accesso, creare un sito nel portale di Check Point Infinity tramite il seguente link https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html.
Configurazione di una destinazione non SD-WAN di tipo Check Point
  1. Dopo aver creato una configurazione destinazione non SD-WAN di tipo Check Point, si viene reindirizzati a una pagina di opzioni di configurazione aggiuntive:
  2. È possibile configurare le seguenti impostazioni del tunnel:
    Opzione Descrizione
    Generale
    Nome (Name) È possibile modificare il nome immesso in precedenza per destinazione non SD-WAN.
    Tipo Visualizza il tipo come Check Point. Non è possibile modificare questa opzione.
    Abilita tunnel Fare clic sull'interruttore per avviare i tunnel da SD-WAN Gateway al gateway VPN Check Point.
    Modalità tunnel (Tunnel Mode) Visualizza Attivo/Hot standby (Active/Hot-Standby) per indicare che se il tunnel attivo diventa inattivo, il tunnel di standby (hot standby) subentra e diventa il tunnel attivo.
    Gateway VPN primario (Primary VPN Gateway)
    IP pubblico (Public IP) Visualizza l'indirizzo IP del gateway VPN primario.
    PSK Pre-Shared Key (PSK) è la chiave di sicurezza per l'autenticazione attraverso il tunnel. Per impostazione predefinita, SASE Orchestrator genera una PSK. Se si desidera utilizzare una chiave PSK o una password personalizzata, immetterla nella casella di testo.
    Crittografia (Encryption) Selezionare AES-128 o AES-256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. Il valore predefinito è AES-128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del guppo Diffie-Hellman (DH) nel menu a discesa. Questa opzione viene utilizzata per generare materiale per le chiavi. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5 e 14. Il valore predefinito è 2.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono disattivato (deactivated), 2 e 5. Il valore predefinito è 2.
    VPN VMware Cloud ridondante Selezionare la casella di controllo per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate a Crittografia (Encryption), Gruppo DH (DH Group) o PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati.
    Gateway VPN secondario (Secondary VPN Gateway) Fare clic sul pulsante Aggiungi (Add) e quindi immettere l'indirizzo IP del gateway VPN secondario. Fare clic su Salva modifiche (Save Changes).

    Il gateway VPN secondario per questo sito viene creato immediatamente e viene eseguito il provisioning di un tunnel VPN VMware in questo gateway.
    ID autenticazione locale L'ID di autenticazione locale definisce il formato e l'identificazione del gateway locale. Nel menu a discesa scegliere tra i tipi seguenti e immettere un valore:
    • FQDN: nome di dominio completo o nome host. Ad esempio: vmware.com
    • FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio: [email protected]
    • IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.
    • IPv6: indirizzo IP utilizzato per comunicare con il gateway locale.
    Nota:
    • Se non si specifica alcun valore, Predefinito (Default) viene utilizzato come ID di autenticazione locale.
    • Per il destinazione non SD-WAN Check Point, il valore dell'ID di autenticazione locale predefinito utilizzato è l'IP pubblico dell'interfaccia di SD-WAN Gateway.
    IKE/IPSec di esempio Fare clic per visualizzare le informazioni necessarie per configurare il gateway destinazione non SD-WAN. L'amministratore del gateway deve utilizzare queste informazioni per configurare i tunnel VPN del gateway.
    Posizione Fare clic su Modifica (Edit) per impostare la posizione per il destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
    Subnet del sito Utilizzare l'interruttore per attivare o disattivare Subnet del sito (Site Subnets). Fare clic su Aggiungi (Add) per aggiungere subnet per la destinazione non SD-WAN. Se non sono necessarie subnet per il sito, selezionare la subnet e fare clic su Elimina (Delete).
    Nota: Per supportare il tipo di data center di destinazione non SD-WAN, oltre alla connessione IPSec, è necessario configurare le subnet locali di destinazione non SD-WAN nel sistema VMware.
  3. Fare clic su Salva modifiche (Save Changes).

Prerequisiti

È necessario disporre di un account Check Point attivo e delle credenziali di accesso per accedere al portale di Check Point Infinity.