비 SD-WAN 대상 인스턴스를 Forcepoint Cloud Security Gateway로 정의하고 구성하고 VMware SD-WAN Edge를 통해 Forcepoint Cloud Security Gateway에 대한 보안 IPSec 터널을 설정할 수 있습니다.

Edge를 통한 비 SD-WAN 대상을 구성하려면

사전 요구 사항

VMware SD-WAN Orchestrator에 로그인하기 위한 관리자 권한이 있는지 확인합니다.

프로시저

  1. SD-WAN Orchestrator에 로그인하고 고객 관리(Manage Customers)로 이동합니다.
  2. 해당 트래픽이 Forcepoint Cloud Security Gateway로 라우팅되는 고객에 대한 링크를 클릭합니다.
  3. 엔터프라이즈 포털에서 구성(Configure) > 네트워크 서비스(Network Services)를 클릭합니다.
  4. Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 창에서 새로 만들기(New)를 클릭하여 비 SD-WAN 대상을 새로 생성합니다.
  5. Edge를 통한 새로운 비 SD-WAN 대상(New Non SD-WAN Destination via Edge) 창에서 다음을 구성합니다.
    옵션 설명
    서비스 이름(Service Name) 비 SD-WAN 대상을 설명하는 이름을 입력합니다.
    서비스 유형(Service Type) 유형으로 일반 IKEv2 라우터(경로 기반 VPN)(Generic IKEv2 Router (Route Based VPN))을 선택합니다.
    다음(Next)을 클릭합니다.
  6. 다음 창에서 다음 설정을 구성합니다.
    다음과 같이 고급(Advanced)을 클릭하여 기본 및 보조 VPN 게이트웨이의 다른 IPsec 터널 매개 변수를 구성합니다.
    옵션 설명
    암호화(Encryption) 드롭다운 목록에서 AES 알고리즘 키로 AES-256을 선택하여 데이터를 암호화합니다.
    DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘으로 14를 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다.
    PFS PFS(Perfect Forward Secrecy) 수준으로 비활성화됨(Deactivated)을 선택합니다.
    해시(Hash) 드롭다운 목록에서 VPN 헤더에 대한 인증 알고리즘으로 SHA 256을 선택합니다.
    IKE SA 수명(분)(IKE SA Lifetime(min)) IKE SA 수명을 분 단위로 입력합니다. 이 시간이 만료되기 전에 Edge에 대해 키 재생성을 시작해야 합니다. 범위는 10 ~ 1440분입니다. 기본값은 1440분입니다.
    IPsec SA 수명(분)(IPsec SA Lifetime(min)) IPsec SA 수명을 분 단위로 입력합니다. 이 시간이 만료되기 전에 Edge에 대해 키 재생성을 시작해야 합니다. 범위는 3 ~ 480분입니다. 기본값은 480분입니다.
    DPD 시간 초과 타이머(초)(DPD Timeout Timer(sec)) 입력 피어가 비활성 상태로 간주되기 전에 디바이스가 DPD 메시지에 대한 응답을 받기 위해 대기하는 최대 시간을 입력합니다. 기본값은 20초입니다. DPD 시간 초과 타이머를 0으로 구성하여 DPD를 비활성화할 수 있습니다.
    보조 VPN 게이트웨이로 터널 설정이 기본 VPN과 같음(Tunnel settings are same as Primary VPN) 확인란을 선택하여 기본 VPN 게이트웨이와 유사한 터널 설정을 구성합니다. Edge는 2개의 터널을 사용하여 설정됩니다.
    다른 설정에 대한 기본값을 선택합니다.
    변경 내용 저장(Save Changes)을 클릭하고 창을 닫습니다.

결과

Edge를 통한 새로운 비 SD-WAN 대상이 네트워크 서비스(Network Services) 창에 표시됩니다.

다음에 수행할 작업

Edge를 통한 새로운 비 SD-WAN 대상을 사용하도록 프로필을 구성합니다. Edge를 통한 비 SD-WAN 대상으로 프로필 구성를 참조하십시오.