È possibile definire e configurare un'istanza di destinazione non SD-WAN come Forcepoint Cloud Security Gateway e stabilire un tunnel IPSec sicuro verso Forcepoint Cloud Security Gateway tramite un VMware SD-WAN Edge.

Per configurare una destinazione non SD-WAN tramite Edge:

Prerequisiti

Assicurarsi di disporre dei privilegi di amministratore per accedere a VMware SD-WAN Orchestrator.

Procedura

  1. Accedere a SD-WAN Orchestrator e passare a Gestisci clienti (Manage Customers).
  2. Fare clic sul link a un cliente il cui traffico verrà instradato verso Forcepoint Cloud Security Gateway.
  3. Nel portale dell'azienda, fare clic su Configura (Configure) > Servizi di rete (Network Services).
  4. Nel riquadro Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), fare clic su Nuovo (New) per creare una nuova destinazione non SD-WAN.
  5. Nella finestra Nuova destinazione non SD-WAN tramite Edge (New Non SD-WAN Destination via Edge), configurare quanto segue:
    Opzione Descrizione
    Nome servizio (Service Name) Immettere un nome descrittivo per la destinazione non SD-WAN.
    Tipo di servizio (Service Type) Selezionare il tipo Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)).
    Fare clic su Avanti (Next).
  6. Nella finestra successiva, configurare le seguenti impostazioni:
    Fare clic su Avanzate (Advanced) per configurare gli altri parametri del tunnel IPSec per i gateway VPN primario e secondario come segue:
    Opzione Descrizione
    Crittografia (Encryption) Nell'elenco a discesa, selezionare AES-256 come chiave degli algoritmi AES per crittografare i dati.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) 14 da utilizzare quando si scambia la chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) come Disattivato.
    Hash Nell'elenco a discesa, selezionare l'algoritmo di autenticazione per l'intestazione VPN SHA 256.
    Durata SA IKE (min) (IKE SA Lifetime(min)) Immettere la durata di SA IKE in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 10 e 1440 minuti. Il valore predefinito è 1440 minuti.
    Durata SA IPSec (min) (IPsec SA Lifetime(min)) Immettere la durata di SA IPSec in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 3 e 480 minuti. Il valore predefinito è 480 minuti.
    Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Immettere il tempo massimo che il dispositivo deve attendere per ricevere una risposta a un messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disattivare DPD configurando il timer del timeout DPD su Zero (0).
    Per il gateway VPN secondario, selezionare la casella di controllo Le impostazioni del tunnel sono uguali a quelle del gateway VPN primario (Tunnel settings are same as Primary VPN Gateway) per configurare impostazioni del tunnel simili a quelle del gateway VPN primario. L'Edge verrà configurato con 2 tunnel.
    Scegliere i valori predefiniti per le altre impostazioni.
    Fare clic su Salva modifiche (Save Changes) e chiudere la finestra.

risultati

La nuova destinazione non SD-WAN tramite Edge viene visualizzata nella finestra Servizi di rete (Network Services):

Operazioni successive

Configurare il profilo per utilizzare la nuova destinazione non SD-WAN tramite Edge. Vedere Configurazione del profilo con una destinazione non SD-WAN tramite Edge.