Non SD-WAN Destination インスタンスを Forcepoint Cloud Security Gateway として定義および設定し、VMware SD-WAN Edge を介して Forcepoint Cloud Security Gateway への安全な IPsec トンネルを確立できます。
Edge 経由の Non SD-WAN Destination を設定するには、次の手順を実行します。
前提条件
VMware SD-WAN Orchestrator にログインするための管理者権限があることを確認します。
手順
- [新しい Edge 経由の Non SD-WAN Destination (New Non SD-WAN Destination via Edge)] ウィンドウで、次のように設定します。
オプション 説明 サービス名 (Service Name) Non SD-WAN Destination のわかりやすい名前を入力します。 サービス タイプ (Service Type) タイプとして [汎用 IKEv2 ルーター(ルートベース VPN)(Generic IKEv2 Router (Route Based VPN))] を選択します。 [次へ (Next)] をクリックします。 - 次のウィンドウで、次の設定を行います。
[詳細 (Advanced)] をクリックして、プライマリおよびセカンダリ VPN Gateway のその他の IPsec トンネル パラメータを次のように設定します。オプション 説明 暗号化 (Encryption) データを暗号化するには、ドロップダウン リストから [AES-256] を AES アルゴリズム キーとして選択します。 DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムに [14] を選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。 PFS Perfect Forward Secrecy (PFS) レベルに [アクティベーション解除済み (Deactivated)] を選択します。 ハッシュ (Hash) ドロップダウン リストから VPN ヘッダーの認証アルゴリズムに [SHA 256] を選択します。 IKE SA の有効期間 (分) (IKE SA Lifetime (min)) IKE SA の有効期間を分単位で入力します。有効期間が切れる前に、Edge の再キー化を開始する必要があります。範囲は 10 ~ 1440 分です。デフォルト値は 1440 分です。 IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) IPsec SA の有効期間を分単位で入力します。有効期間が切れる前に、Edge の再キー化を開始する必要があります。範囲は 3 ~ 480 分です。デフォルト値は 480 分です。 DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) ピアがダウンしていると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間を入力します。デフォルト値は 20 秒です。DPD タイムアウト タイマーをゼロ (0) に設定して、DPD をアクティベーション解除できます。 セカンダリ VPN Gateway の場合は、 [トンネル設定をプライマリ VPN Gateway と同じにする (Tunnel settings are same as Primary VPN Gateway)] チェックボックスをオンにして、プライマリ VPN Gateway と同様のトンネルを設定します。Edge は 2 つのトンネルを使用して設定されます。その他の設定ではデフォルト値を選択します。[変更の保存 (Save Changes)] をクリックして、ウィンドウを閉じます。
結果
新しい Edge 経由の Non SD-WAN Destination が、[ネットワーク サービス (Network Services)] ウィンドウに表示されます。
次のタスク
新しい Edge 経由の Non SD-WAN Destination を使用するようにプロファイルを設定します。Edge 経由の Non SD-WAN Destination を使用してプロファイルを設定するを参照してください。
