Non SD-WAN Destination インスタンスを Forcepoint Cloud Security Gateway として定義および構成し、VMware SD-WAN Gateway を介して Forcepoint Cloud Security Gateway への安全な IPsec トンネルを確立できます。

Gateway 経由の Non SD-WAN Destination を構成するには、次の手順を実行します。

前提条件

VMware SD-WAN Orchestrator にログインするための管理者権限があることを確認します。

手順

  1. SD-WAN Orchestrator にログインし、[カスタマーの管理 (Manage Customers)] に移動します。
  2. トラフィックが Forcepoint Cloud Security Gateway にルーティングされるユーザーへのリンクをクリックします。
  3. エンタープライズ ポータルで、[構成 (Configure)] > [ネットワーク サービス (Network Services)] をクリックします。
  4. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] ペインで [新規] をクリックして、新しい Non SD-WAN Destination を作成します。
  5. [新しい Gateway 経由の Non SD-WAN Destination (New Non SD-WAN Destination via Gateway)] ウィンドウで、次のように構成します。
    オプション 説明
    名前 (Name) Non SD-WAN Destination のわかりやすい名前を入力します。
    タイプ (Type) タイプとして [汎用 IKEv2 ルーター(ルートベース VPN)(Generic IKEv2 Router (Route Based VPN))] を選択します。
    プライマリ VPN Gateway (Primary VPN Gateway) Forcepoint Cloud Security Gateway の [Edge デバイス (Edge Device)] 構成から取得した最初のデータセンターの IP アドレスを入力します。
    セカンダリ VPN Gateway (Secondary VPN Gateway) Forcepoint Cloud Security Gateway の [Edge デバイス (Edge Device)] 構成から取得した 2 つ目のデータセンターの IP アドレスを入力します。
    [次へ (Next)] をクリックします。
  6. 次のウィンドウで、次の設定を構成します。
    Non SD-WAN Destination の [名前 (Name)] および [タイプ (Type)] が表示されます。トンネルを有効にするには、 [トンネルの有効化 (Enable Tunnel(s))] チェックボックスをオンにします。
    [詳細 (Advanced)] をクリックして、プライマリおよびセカンダリ VPN Gateway のその他の IPsec トンネル パラメータを次のように構成します。
    オプション 説明
    PSK Forcepoint Cloud Security Gateway での [Edge デバイス (Edge Device)] の構成で使用される事前共有キーを入力します。
    冗長トンネル PSK (Redundant Tunnel PSK) 事前共有キーの入力を繰り返します。
    暗号化 (Encryption) データを暗号化するには、ドロップダウン リストから [AES-256] を AES アルゴリズム キーとして選択します。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。
    PFS Perfect Forward Secrecy (PFS) レベルに [無効 (disabled)] 選択します。
    ハッシュ (Hash) ドロップダウン リストから VPN ヘッダーの認証アルゴリズムに [SHA 256] を選択します。
    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) IKE SA の有効期間を分単位で入力します。有効期間が切れる前に、Edge の再キー化を開始する必要があります。範囲は 10 ~ 1440 分です。デフォルト値は 1440 分です。
    IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) IPsec SA の有効期間を分単位で入力します。有効期間が切れる前に、Edge の再キー化を開始する必要があります。範囲は 3 ~ 480 分です。デフォルト値は 480 分です。
    DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) ピアが停止していると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間を入力します。デフォルト値は 20 秒です。DPD タイムアウト タイマーをゼロ (0) に構成して、DPD を無効にできます。
    [冗長 VeloCloud クラウド VPN (Redundant VeloCloud Cloud VPN)]:プライマリ Gateway およびセカンダリ Gateway から IPsec トンネルを確立するには、このチェックボックスをオンにします。
    [サイト サブネット (Site Subnets)]:プラス ( [+]) アイコンを使用して Non SD-WAN Destination のサブネットを追加します。サイトのサブネットが必要ない場合は、 [サイト サブネットの無効化 (Disable Site Subnets)] チェックボックスをオンにします。

    [ローカル認証 ID (Local Auth Id)]:ドロップダウン リストからローカル認証 ID に [FQDN] を選択し、Forcepoint Cloud Security Gateway での [Edge デバイス (Edge Device)] の構成で使用した DNS 名を入力します。

    [変更の保存 (Save Changes)] をクリックして、ウィンドウを閉じます。

結果

新しい Gateway 経由の Non SD-WAN Destination が [ネットワーク サービス (Network Services)] ウィンドウに表示されます。

次のタスク

新しい Gateway 経由の Non SD-WAN Destination を使用するようにプロファイルを構成します。Gateway 経由の Non SD-WAN Destination を使用してプロファイルを構成するを参照してください。