SD-WAN Gateway は、IKEv1/IPsec を使用して、Check Point CloudGuard サービスに接続します。Check Point を設定するには、Check Point CloudGuard サービスの設定、および Check Point タイプの Non SD-WAN Destination の設定という 2 つの手順があります。Check Point Infinity Portal で最初の手順を実行し、SASE Orchestrator で 2 番目の手順を実行する必要があります。
[Check Point CloudGuard サービスの設定]
- リンク https://portal.checkpoint.com/を使用して Check Point の Infinity Portal にログインします。
- ログインしたら、リンク https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html を使用して、Check Point の Infinity Portal でサイトを作成します。
[Check Point タイプの Non SD-WAN Destination の設定]
- [Check Point] タイプの Non SD-WAN Destination 設定を作成すると、追加の設定オプション ページにリダイレクトされます。
- 次のトンネル設定が可能です。
オプション 説明 全般 名前 (Name) 以前に入力した Non SD-WAN Destination の名前を編集できます。 タイプ (Type) タイプとして [Check Point] が表示されます。このオプションは編集できません。 トンネルの有効化 (Enable Tunnel(s)) トグル ボタンをクリックして、SD-WAN Gateway から Check Point VPN Gateway へのトンネルを開始します。 [ECMP] のロード共有方法 [フロー負荷ベース](デフォルト):フロー負荷ベースのアルゴリズムは、新しいフローを、使用可能なパスの中で宛先にマッピングされたフローの数が最も少ないパスにマッピングします。 [ハッシュ負荷ベース] のアルゴリズムは、5 つのタプル(SrcIP、DestIP、SrcPort、DestPort、Protocol)から入力パラメータを取得します。これらの入力は、ユーザー設定に基づいて、このタプルの任意 1 つ、すべて、またはそのサブセットにすることができます。フローは、選択した入力のハッシュ値に基づいてパスにマッピングされます。 VPN Gateway 1 有効な IP アドレスを入力してください。 VPN Gateway 2 有効な IP アドレスを入力してください。このフィールドはオプションです。 VPN Gateway 3 有効な IP アドレスを入力してください。このフィールドはオプションです。 VPN Gateway 4 有効な IP アドレスを入力してください。このフィールドはオプションです。 パブリック IP アドレス (Public IP) プライマリ VPN Gateway の IP アドレスを表示します。 PSK 事前共有キー (PSK) は、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、SASE Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。 暗号化 (Encryption) データを暗号化する AES アルゴリズムのキー サイズとして [AES -128] または [AES -256] のいずれかを選択します。デフォルト値は [AES-128] です。 DH グループ (DH Group) ドロップダウン メニューから Diffie-Hellman (DH) グループのアルゴリズムを選択します。これは、キー マテリアルの生成に使用されます。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは [2]、[5]、[14] です。デフォルト値は [2] です。 PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは [無効 (deactivated)]、[2] および [5] です。デフォルト値は [2] です。 冗長 VMware Cloud VPN (Redundant VMware Cloud VPN) チェック ボックスをオンにして、各 VPN Gateway に冗長トンネルを追加します。プライマリ VPN Gateway の [暗号化 (Encryption)]、[DH グループ (DH Group)]、または [PFS] に加えられた変更は、冗長 VPN トンネルにも適用されます(設定されている場合)。 セカンダリ VPN Gateway (Secondary VPN Gateway) [追加 (Add)] ボタンをクリックし、セカンダリ VPN Gateway の IP アドレスを入力します。[変更の保存 (Save Changes)] をクリックします。 セカンダリ VPN Gateway がこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。
ローカル認証 ID (Local Auth Id) ローカル認証 ID は、ローカル Gateway の形式と ID を定義します。ドロップダウン メニューから、次のタイプから選択し、値を入力します。 - [FQDN] - 完全修飾ドメイン名またはホスト名。たとえば、vmware.com
- [ユーザーの FQDN (User FQDN)] - メール アドレス形式のユーザーの完全修飾ドメイン名。たとえば、[email protected]
- [IPv4] - ローカル Gateway との通信に使用される IP アドレス。
- [IPv6] - ローカル Gateway との通信に使用される IP アドレス。
注:- 値を指定しない場合、[デフォルト (Default)] がローカル認証 ID として使用されます。
- Checkpoint Non SD-WAN Destination の場合、デフォルトでは、使用されるローカル認証 ID の値は SD-WAN Gateway インターフェイスのパブリック IP アドレスです。
IKE/IPsec の例 (Sample IKE / IPsec) クリックすると、Non SD-WAN Destination Gateway の設定に必要な情報が表示されます。Gateway 管理者は、この情報を使用して Gateway VPN トンネルを設定する必要があります。 場所 (Location) [編集 (Edit)] をクリックして、設定された Non SD-WAN Destination の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge または Gateway を決定します。 サイト サブネット (Site Subnets) トグル ボタンを使用して、[サイト サブネット (Site Subnets)] を有効または無効にします。[追加 (Add)] をクリックして、Non SD-WAN Destination のサブネットを追加します。サイトのサブネットが必要ない場合は、サブネットを選択して [削除 (Delete)] をクリックします。 注: IPsec 接続のほかに、データセンター タイプの Non SD-WAN Destination をサポートするには、 Non SD-WAN Destination ローカル サブネットを VMware システムに設定する必要があります。 - [変更の保存 (Save Changes)] をクリックします。
前提条件
Check Point Infinity Portal にアクセスするには、アクティブな Check Point アカウントとログイン認証情報が必要です。