Configurare una destinazione non SD-WAN tramite gateway in SD-WAN Orchestrator per stabilire un tunnel IPSec sicuro verso il portale di Netskope tramite SD-WAN Gateway.

Per configurare una destinazione non SD-WAN tramite gateway:

Prerequisiti

Assicurarsi di aver già configurato un tunnel IPSec nel portale di Netskope NG SWG. Vedere Configurazione delle credenziali VPN nel portale di Netskope.

Procedura

  1. Accedere a SD-WAN Orchestrator per verificare che le istanze dei clienti siano state create e che gli Edge siano online.
  2. Fare clic sul link al nome di un cliente per passare al portale dell'azienda.
  3. Nel portale dell'azienda, fare clic su Configura (Configure) > Servizi di rete (Network Services).
  4. Nel riquadro Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic su Nuovo (New) per creare una nuova destinazione non SD-WAN.
  5. Nella finestra Nuova destinazione non SD-WAN tramite Gateway (New Non SD-WAN Destination via Gateway), configurare quanto segue:
    Opzione Descrizione
    Nome (Name) Immettere un nome descrittivo per la destinazione non SD-WAN.
    Tipo (Type) Selezionare il tipo Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)).
    Gateway VPN primario (Primary VPN Gateway) Immettere l'indirizzo IP del POP primario utilizzato per configurare il tunnel VPN nel portale di Netskope.
    Gateway VPN secondario (Secondary VPN Gateway) Immettere l'indirizzo IP del POP secondario utilizzato per configurare il tunnel VPN nel portale di Netskope.
    Fare clic su Avanti (Next).
  6. Nella finestra successiva, configurare le seguenti impostazioni:
    Vengono visualizzati il Nome (Name) e il Tipo (Type) della destinazione non SD-WAN. Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) per abilitare il tunnel.
    Fare clic su Avanzate (Advanced) per configurare gli altri parametri del tunnel IPSec per i gateway VPN primario e secondario come segue:
    Opzione Descrizione
    Crittografia (Encryption) Nell'elenco a discesa, selezionare la chiave degli algoritmi AES per crittografare i dati. Se non si desidera crittografare i dati, selezionare Null. Il valore predefinito è AES 128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia la chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. Il valore predefinito è disattivato.
    Hash Nell'elenco a discesa, selezionare l'algoritmo di autenticazione per l'intestazione VPN. Sono disponibili le seguenti opzioni SHA (Secure Hash Algorithm):
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    Il valore predefinito è SHA 256.

    Durata SA IKE (min) (IKE SA Lifetime(min)) Immettere la durata di SA IKE in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 10 e 1440 minuti. Il valore predefinito è 1440 minuti.
    Durata SA IPSec (min) (IPsec SA Lifetime(min)) Immettere la durata di SA IPSec in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 3 e 480 minuti. Il valore predefinito è 480 minuti.
    Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Immettere il tempo massimo che il dispositivo deve attendere per ricevere una risposta a un messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disattivare DPD configurando il timer del timeout DPD su Zero (0).
    VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN): selezionare la casella di controllo per stabilire i tunnel IPSec dal SD-WAN Gateway primario e da quello secondario.
    Subnet del sito (Site Subnets): aggiungere subnet per il destinazione non SD-WAN utilizzando l'icona più ( +). Se non sono necessarie subnet per il sito, selezionare la casella di controllo Disattiva subnet sito (Deactivate Site Subnets).
    ID autenticazione locale (Local Auth Id): nell'elenco a discesa, selezionare l'ID di autenticazione locale per definire il formato e l'identificazione del gateway locale. Sono disponibili le seguenti opzioni:
    • Predefinito (Default): per impostazione predefinita, l'indirizzo IP pubblico dell'interfaccia di SD-WAN Gateway viene utilizzato come ID di autenticazione locale.
    • FQDN: nome di dominio completo o nome host. Ad esempio, google.com.
    • FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio, utente@google.com.
    • IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.
    Fare clic su Salva modifiche (Save Changes) e chiudere la finestra.

risultati

La nuova destinazione non SD-WAN tramite gateway viene visualizzata nella finestra Servizi di rete (Network Services):

Operazioni successive

Configurare il profilo per utilizzare la nuova destinazione non SD-WAN tramite gateway. Vedere Configurazione del profilo con una destinazione non SD-WAN tramite gateway.