SD-WAN Orchestrator で Gateway 経由の Non SD-WAN Destination を構成し、SD-WAN Gateway を介して Netskope ポータルへのセキュアな IPsec トンネルを確立します。

Gateway 経由の Non SD-WAN Destination を構成するには、次の手順を実行します。

前提条件

Netskope NG SWG ポータルで IPsec トンネルが構成済みであることを確認します。Netskope ポータルでの VPN 認証情報の構成を参照してください。

手順

  1. SD-WAN Orchestrator にログインし、カスタマーのインスタンスが作成されており、Edge がオンラインであることを確認します。
  2. カスタマー名へのリンクをクリックして、エンタープライズ ポータルに移動します。
  3. エンタープライズ ポータルで、[構成 (Configure)] > [ネットワーク サービス (Network Services)] をクリックします。
  4. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] ペインで [新規] をクリックして、新しい Non SD-WAN Destination を作成します。
  5. [新しい Gateway 経由の Non SD-WAN Destination (New Non SD-WAN Destination via Gateway)] ウィンドウで、次のように構成します。
    オプション 説明
    名前 (Name) Non SD-WAN Destination のわかりやすい名前を入力します。
    タイプ (Type) タイプとして [汎用 IKEv2 ルーター(ルートベース VPN)(Generic IKEv2 Router (Route Based VPN))] を選択します。
    プライマリ VPN Gateway (Primary VPN Gateway) Netskope ポータルで VPN トンネルを設定するために使用されるプライマリ POP の IP アドレスを入力します。
    セカンダリ VPN Gateway (Secondary VPN Gateway) Netskope ポータルで VPN トンネルを設定するために使用されるセカンダリ POP の IP アドレスを入力します。
    [次へ (Next)] をクリックします。
  6. 次のウィンドウで、次の設定を構成します。
    Non SD-WAN Destination の [名前 (Name)] および [タイプ (Type)] が表示されます。トンネルを有効にするには、 [トンネルの有効化 (Enable Tunnel(s))] チェックボックスをオンにします。
    [詳細 (Advanced)] をクリックして、プライマリおよびセカンダリ VPN Gateway のその他の IPsec トンネル パラメータを次のように構成します。
    オプション 説明
    暗号化 (Encryption) ドロップダウン リストから AES アルゴリズム キーを選択して、データを暗号化します。データを暗号化しない場合は [ヌル (Null)] を選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルト値は [無効 (Disabled)] です。
    ハッシュ (Hash) ドロップダウン リストから VPN ヘッダーの認証アルゴリズムを選択します。次のような Secure Hash Algorithm (SHA) オプションを使用できます。
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    デフォルト値は [SHA 256] です。

    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) IKE SA の有効期間を分単位で入力します。有効期間が切れる前に、Edge の再キー化を開始する必要があります。範囲は 10 ~ 1440 分です。デフォルト値は 1440 分です。
    IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) IPsec SA の有効期間を分単位で入力します。有効期間が切れる前に、Edge の再キー化を開始する必要があります。範囲は 3 ~ 480 分です。デフォルト値は 480 分です。
    DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) ピアが停止していると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間を入力します。デフォルト値は 20 秒です。DPD タイムアウト タイマーをゼロ (0) に構成して、DPD を無効にできます。
    [冗長 VeloCloud クラウド VPN (Redundant VeloCloud Cloud VPN)]:プライマリおよびセカンダリ SD-WAN Gateway から IPsec トンネルを確立するには、このチェックボックスをオンにします。
    [サイト サブネット (Site Subnets)]:プラス ( [+]) アイコンを使用して Non SD-WAN Destination のサブネットを追加します。サイトのサブネットが必要ない場合は、 [サイト サブネットの無効化 (Disable Site Subnets)] チェックボックスをオンにします。
    [ローカル認証 ID (Local Auth Id)]:ドロップダウン リストからローカル認証 ID を選択して、ローカル Gateway の形式と ID を定義します。次のオプションを使用できます。
    • [デフォルト (Default)]:デフォルトでは、SD-WAN Gateway のインターフェイスのパブリック IP アドレスがローカル認証 ID として使用されます。
    • [FQDN] - 完全修飾ドメイン名またはホスト名。たとえば、google.com。
    • [ユーザーの FQDN (User FQDN)] - メール アドレス形式のユーザーの完全修飾ドメイン名。たとえば、user@google.com。
    • [IPv4] - ローカル Gateway との通信に使用される IP アドレス。
    [変更の保存 (Save Changes)] をクリックして、ウィンドウを閉じます。

結果

新しい Gateway 経由の Non SD-WAN Destination が [ネットワーク サービス (Network Services)] ウィンドウに表示されます。

次のタスク

新しい Gateway 経由の Non SD-WAN Destination を使用するようにプロファイルを構成します。Gateway 経由の Non SD-WAN Destination を使用してプロファイルを構成するを参照してください。