SD-WAN Gateway si connette al servizio Check Point CloudGard utilizzando IKEv1/IPsec. I passaggi per configurare un Check Point sono due: configurazione del servizio Check Point CloudGuard e configurazione di destinazione non SD-WAN di tipo Check Point. È necessario eseguire il primo passaggio nel portale di Check Point Infinity e il secondo passaggio in SASE Orchestrator.
Configurazione del servizio Check Point CloudGuard
- Accedere al portale di Check Point Infinity utilizzando il link https://portal.checkpoint.com/.
- Una volta effettuato l'accesso, creare un sito nel portale di Check Point Infinity tramite il seguente link https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html.
Configurazione di una destinazione non SD-WAN di tipo Check Point
- Dopo aver creato una configurazione destinazione non SD-WAN di tipo Check Point, si viene reindirizzati a una pagina di opzioni di configurazione aggiuntive:
- È possibile configurare le seguenti impostazioni del tunnel:
Opzione Descrizione Generale Nome (Name) È possibile modificare il nome immesso in precedenza per destinazione non SD-WAN. Tipo Visualizza il tipo come Check Point. Non è possibile modificare questa opzione. Abilita tunnel Fare clic sull'interruttore per avviare i tunnel da SD-WAN Gateway al gateway VPN Check Point. Modalità tunnel (Tunnel Mode) Visualizza Attivo/Hot standby (Active/Hot-Standby) per indicare che se il tunnel attivo diventa inattivo, il tunnel di standby (hot standby) subentra e diventa il tunnel attivo. Gateway VPN primario (Primary VPN Gateway) IP pubblico (Public IP) Visualizza l'indirizzo IP del gateway VPN primario. PSK Pre-Shared Key (PSK) è la chiave di sicurezza per l'autenticazione attraverso il tunnel. Per impostazione predefinita, SASE Orchestrator genera una PSK. Se si desidera utilizzare una chiave PSK o una password personalizzata, immetterla nella casella di testo. Crittografia (Encryption) Selezionare AES-128 o AES-256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. Il valore predefinito è AES-128. Gruppo DH (DH Group) Selezionare l'algoritmo del guppo Diffie-Hellman (DH) nel menu a discesa. Questa opzione viene utilizzata per generare materiale per le chiavi. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5 e 14. Il valore predefinito è 2. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono disattivato (deactivated), 2 e 5. Il valore predefinito è 2. VPN VMware Cloud ridondante Selezionare la casella di controllo per aggiungere tunnel ridondanti per ogni gateway VPN. Tutte le modifiche apportate a Crittografia (Encryption), Gruppo DH (DH Group) o PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati. Gateway VPN secondario (Secondary VPN Gateway) Fare clic sul pulsante Aggiungi (Add) e quindi immettere l'indirizzo IP del gateway VPN secondario. Fare clic su Salva modifiche (Save Changes). Il gateway VPN secondario per questo sito viene creato immediatamente e viene eseguito il provisioning di un tunnel VPN VMware in questo gateway.
ID autenticazione locale L'ID di autenticazione locale definisce il formato e l'identificazione del gateway locale. Nel menu a discesa scegliere tra i tipi seguenti e immettere un valore: - FQDN: nome di dominio completo o nome host. Ad esempio: vmware.com
- FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio: [email protected]
- IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.
- IPv6: indirizzo IP utilizzato per comunicare con il gateway locale.
Nota:- Se non si specifica alcun valore, Predefinito (Default) viene utilizzato come ID di autenticazione locale.
- Per il destinazione non SD-WAN Check Point, il valore dell'ID di autenticazione locale predefinito utilizzato è l'IP pubblico dell'interfaccia di SD-WAN Gateway.
IKE/IPSec di esempio Fare clic per visualizzare le informazioni necessarie per configurare il gateway destinazione non SD-WAN. L'amministratore del gateway deve utilizzare queste informazioni per configurare i tunnel VPN del gateway. Posizione Fare clic su Modifica (Edit) per impostare la posizione per il destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete. Subnet del sito Utilizzare l'interruttore per attivare o disattivare Subnet del sito (Site Subnets). Fare clic su Aggiungi (Add) per aggiungere subnet per la destinazione non SD-WAN. Se non sono necessarie subnet per il sito, selezionare la subnet e fare clic su Elimina (Delete). Nota: Per supportare il tipo di data center di destinazione non SD-WAN, oltre alla connessione IPSec, è necessario configurare le subnet locali di destinazione non SD-WAN nel sistema VMware. - Fare clic su Salva modifiche (Save Changes).
Prerequisiti
È necessario disporre di un account Check Point attivo e delle credenziali di accesso per accedere al portale di Check Point Infinity.