È possibile definire e configurare un'istanza di destinazione non SD-WAN come Forcepoint Cloud Security Gateway e stabilire un tunnel IPSec sicuro verso Forcepoint Cloud Security Gateway tramite un VMware SD-WAN Gateway.

Per configurare una destinazione non SD-WAN tramite gateway:

Prerequisiti

Assicurarsi di disporre dei privilegi di amministratore per accedere a VMware SD-WAN Orchestrator.

Procedura

  1. Accedere a SD-WAN Orchestrator e passare a Gestisci clienti (Manage Customers).
  2. Fare clic sul link a un cliente il cui traffico verrà instradato verso Forcepoint Cloud Security Gateway.
  3. Nel portale dell'azienda, fare clic su Configura (Configure) > Servizi di rete (Network Services).
  4. Nel riquadro Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic su Nuovo (New) per creare una nuova destinazione non SD-WAN.
  5. Nella finestra Nuova destinazione non SD-WAN tramite Gateway (New Non SD-WAN Destination via Gateway), configurare quanto segue:
    Opzione Descrizione
    Nome (Name) Immettere un nome descrittivo per la destinazione non SD-WAN.
    Tipo (Type) Selezionare il tipo Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)).
    Gateway VPN primario (Primary VPN Gateway) Immettere l'indirizzo IP del primo data center della configurazione Dispositivo Edge (Edge Device) di Forcepoint Cloud Security Gateway.
    Gateway VPN secondario (Secondary VPN Gateway) Immettere l'indirizzo IP del secondo data center della configurazione Dispositivo Edge (Edge Device) di Forcepoint Cloud Security Gateway.
    Fare clic su Avanti (Next).
  6. Nella finestra successiva, configurare le seguenti impostazioni:
    Vengono visualizzati il Nome (Name) e il Tipo (Type) della destinazione non SD-WAN. Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) per abilitare il tunnel.
    Fare clic su Avanzate (Advanced) per configurare gli altri parametri del tunnel IPSec per i gateway VPN primario e secondario come segue:
    Opzione Descrizione
    PSK Immettere la chiave PSK (Pre-Shared Key) utilizzata durante la configurazione di Dispositivo Edge (Edge Device) in Forcepoint Cloud Security Gateway.
    PSK tunnel ridondante (Redundant Tunnel PSK) Ripetere l'immissione della chiave PSK (Pre-Shared Key).
    Crittografia (Encryption) Nell'elenco a discesa, selezionare AES-256 come chiave degli algoritmi AES per crittografare i dati.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia la chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) come disattivato.
    Hash Nell'elenco a discesa, selezionare l'algoritmo di autenticazione per l'intestazione VPN SHA 256.
    Durata SA IKE (min) (IKE SA Lifetime(min)) Immettere la durata di SA IKE in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 10 e 1440 minuti. Il valore predefinito è 1440 minuti.
    Durata SA IPSec (min) (IPsec SA Lifetime(min)) Immettere la durata di SA IPSec in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 3 e 480 minuti. Il valore predefinito è 480 minuti.
    Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Immettere il tempo massimo che il dispositivo deve attendere per ricevere una risposta a un messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disattivare DPD configurando il timer del timeout DPD su Zero (0).
    VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN): selezionare la casella di controllo per stabilire i tunnel IPSec dal gateway primario e da quello secondario.
    Subnet del sito (Site Subnets): aggiungere subnet per il destinazione non SD-WAN utilizzando l'icona più ( +). Se non sono necessarie subnet per il sito, selezionare la casella di controllo Disattiva subnet sito (Deactivate Site Subnets).

    ID autenticazione locale (Local Auth Id): nell'elenco a discesa, selezionare l'ID autenticazione locale FQDN e immettere il nome DNS utilizzato durante la configurazione di Dispositivo Edge (Edge Device) in Forcepoint Cloud Security Gateway.

    Fare clic su Salva modifiche (Save Changes) e chiudere la finestra.

risultati

La nuova destinazione non SD-WAN tramite gateway viene visualizzata nella finestra Servizi di rete (Network Services):

Operazioni successive

Configurare il profilo per utilizzare la nuova destinazione non SD-WAN tramite gateway. Vedere Configurazione del profilo con una destinazione non SD-WAN tramite gateway.