Pode definir e configurar uma instância do Destino Não-SD-WAN como gateway de segurança da nuvem do Forcepoint e estabelecer um túnel IPSec seguro para o gateway de segurança da nuvem do Forcepoint através de um VMware SD-WAN Edge.

Para configurar um destino não-SD-WAN via Edge:

Pré-requisitos

Certifique-se de que tem privilégios de administrador para iniciar sessão em VMware SD-WAN Orchestrator.

Procedimento

  1. Inicie sessão em SD-WAN Orchestrator e navegue para Gerir clientes (Manage Customers).
  2. Clique na ligação para um cliente cujo tráfego seria encaminhado para o gateway de segurança da nuvem do Forcepoint.
  3. No portal da empresa, clique em Configurar > Serviços de rede (Configure > Network Services).
  4. No painel Destinos não-SD-WAN via Edge (Non SD-WAN Destinations via Edge), clique em Novo (New) para criar um novo destino não-SD-WAN.
  5. Na janela Novo destino não-SD-WAN via Edge (New Non SD-WAN Destination via Edge), configure o seguinte:
    Opção Descrição
    Nome do serviço (Service Name) Introduza um nome descritivo para o destino não-SD-WAN.
    Tipo de serviço (Service Type) Selecione o tipo como Router IKEv2 genérico (VPN baseada em rota) [Generic IKEv2 Router (Route Based VPN)].
    Clique em Seguinte (Next).
  6. Na janela seguinte, configure as seguintes definições:
    Clique em Avançado (Advanced) para configurar os outros parâmetros do túnel IPsec para os gateways VPN principal e secundário da seguinte forma:
    Opção Descrição
    Encriptação (Encryption) Selecione AES-256 como a chave dos algoritmos AES da lista pendente, para encriptar os dados.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) como 14, que seria utilizado ao trocar a chave pré-partilhada. O grupo DH define a força do algoritmo em bits.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) como desativado (disabled).
    Hash Selecione o algoritmo de autenticação para o cabeçalho VPN como SHA 256 na lista pendente.
    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Introduza o tempo de vida IKE SA em minutos. A recodificação deve ser iniciada para os Edges antes de o tempo expirar. O intervalo é de 10 a 1440 minutos. O valor predefinido é 1440 minutos.
    Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Introduza o tempo de vida IPsec SA em minutos. A recodificação deve ser iniciada para os Edges antes de o tempo expirar. O intervalo é de 3 a 480 minutos. O valor predefinido é 480 minutos.
    Temporizador de tempo limite DPD (seg) [DPD Timeout Timer(sec)] Introduza o tempo máximo que o dispositivo deve aguardar para receber uma resposta à mensagem DPD antes de considerar o par como morto. O valor predefinido é 20 segundos. Pode desativar o DPD configurando o temporizador de tempo limite DPD como Zero (0).
    Para o gateway VPN secundário, selecione a caixa de verificação As definições de túnel são iguais às do VPN Principal (Tunnel settings are same as Primary VPN) para configurar as definições de túnel semelhantes às do gateway VPN principal. O Edge será configurado com 2 túneis.
    Escolha os valores predefinidos para outras definições.
    Clique em Guardar alterações (Save Changes) e feche a janela.

Resultados

O novo destino não-SD-WAN via Edge é apresentado na janela Serviços de rede (Network Services):

Como proceder a seguir

Configure o perfil para utilizar o novo destino não-SD-WAN via Edge. Consulte Configurar o perfil com destino não-SD-WAN via Edge.