비 SD-WAN 대상 인스턴스를 Forcepoint Cloud Security Gateway로 정의하고 구성하고 VMware SD-WAN Gateway를 통해 Forcepoint Cloud Security Gateway에 대한 보안 IPSec 터널을 설정할 수 있습니다.

게이트웨이를 통한 비 SD-WAN 대상을 구성하려면

사전 요구 사항

VMware SD-WAN Orchestrator에 로그인하기 위한 관리자 권한이 있는지 확인합니다.

프로시저

  1. SD-WAN Orchestrator에 로그인하고 고객 관리(Manage Customers)로 이동합니다.
  2. 해당 트래픽이 Forcepoint Cloud Security Gateway로 라우팅되는 고객에 대한 링크를 클릭합니다.
  3. 엔터프라이즈 포털에서 구성(Configure) > 네트워크 서비스(Network Services)를 클릭합니다.
  4. 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 창에서 새로 만들기(New)를 클릭하여 비 SD-WAN 대상을 새로 생성합니다.
  5. 새로운 게이트웨이를 통한 비 SD-WAN 대상(New Non SD-WAN Destination via Gateway) 창에서 다음을 구성합니다.
    옵션 설명
    이름(Name) 비 SD-WAN 대상을 설명하는 이름을 입력합니다.
    유형(Type) 유형으로 일반 IKEv2 라우터(경로 기반 VPN)(Generic IKEv2 Router (Route Based VPN))을 선택합니다.
    기본 VPN 게이트웨이(Primary VPN Gateway) Forcepoint Cloud Security Gateway Edge 디바이스(Edge Device) 구성에 있는 첫 번째 데이터 센터의 IP 주소를 입력합니다.
    보조 VPN 게이트웨이(Secondary VPN Gateway) Forcepoint Cloud Security Gateway Edge 디바이스(Edge Device) 구성에 있는 두 번째 데이터 센터의 IP 주소를 입력합니다.
    다음(Next)을 클릭합니다.
  6. 다음 창에서 다음 설정을 구성합니다.
    비 SD-WAN 대상의 이름(Name)유형(Type)이 표시됩니다. 터널 사용(Enable Tunnel(s)) 확인란을 선택하여 터널을 사용하도록 설정합니다.
    다음과 같이 고급(Advanced)을 클릭하여 기본 및 보조 VPN 게이트웨이의 다른 IPsec 터널 매개 변수를 구성합니다.
    옵션 설명
    PSK Forcepoint Cloud Security Gateway에서 Edge 디바이스(Edge Device)를 구성하는 데 사용되는 미리 공유한 키를 입력합니다.
    중복 터널 PSK(Redundant Tunnel PSK) 미리 공유한 키를 반복해서 입력합니다.
    암호화(Encryption) 드롭다운 목록에서 AES 알고리즘 키로 AES-256을 선택하여 데이터를 암호화합니다.
    DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다.
    PFS PFS(Perfect Forward Secrecy) 수준으로 비활성화됨(Deactivated)을 선택합니다.
    해시(Hash) 드롭다운 목록에서 VPN 헤더에 대한 인증 알고리즘으로 SHA 256을 선택합니다.
    IKE SA 수명(분)(IKE SA Lifetime(min)) IKE SA 수명을 분 단위로 입력합니다. 이 시간이 만료되기 전에 Edge에 대해 키 재생성을 시작해야 합니다. 범위는 10 ~ 1440분입니다. 기본값은 1440분입니다.
    IPsec SA 수명(분)(IPsec SA Lifetime(min)) IPsec SA 수명을 분 단위로 입력합니다. 이 시간이 만료되기 전에 Edge에 대해 키 재생성을 시작해야 합니다. 범위는 3 ~ 480분입니다. 기본값은 480분입니다.
    DPD 시간 초과 타이머(초)(DPD Timeout Timer(sec)) 입력 피어가 비활성 상태로 간주되기 전에 디바이스가 DPD 메시지에 대한 응답을 받기 위해 대기하는 최대 시간을 입력합니다. 기본값은 20초입니다. DPD 시간 초과 타이머를 0으로 구성하여 DPD를 비활성화할 수 있습니다.
    중복 VeloCloud 클라우드 VPN(Redundant VeloCloud Cloud VPN) – 이 확인란을 선택하여 기본 및 보조 게이트웨이에서 IPSEC 터널을 설정합니다.
    사이트 서브넷(Site Subnets) – 더하기( +) 아이콘을 사용하여 비 SD-WAN 대상에 대한 서브넷을 추가합니다. 사이트에 대한 서브넷이 필요하지 않은 경우 사이트 서브넷 비활성화(Deactivate Site Subnets) 확인란을 선택합니다.

    로컬 인증 ID(Local Auth Id) – 드롭다운 목록에서 로컬 인증 ID를 FQDN으로 선택하고 Forcepoint Cloud Security Gateway에서 Edge 디바이스(Edge Device)를 구성하는 동안 사용되는 DNS 이름을 입력합니다.

    변경 내용 저장(Save Changes)을 클릭하고 창을 닫습니다.

결과

새로운 게이트웨이를 통한 비 SD-WAN 대상이 네트워크 서비스(Network Services) 창에 표시됩니다.

다음에 수행할 작업

새로운 게이트웨이를 통한 비 SD-WAN 대상을 사용하도록 프로필을 구성합니다. 게이트웨이를 통한 비 SD-WAN 대상으로 프로필 구성를 참조하십시오.