O SD-WAN Gateway liga-se ao serviço CloudGuard do ponto de verificação utilizando o IKEv1/IPsec. Existem dois passos para configurar um ponto de verificação: configurar o serviço CloudGuard do ponto de verificação e configurar o Destino Não-SD-WAN do tipo Ponto de verificação. Realizará o primeiro passo no portal Infinity do ponto de verificação e o segundo passo no SD-WAN Orchestrator.
Configurar o serviço do CloudGuard do ponto de verificação
- Inicie sessão no portal Infinity do ponto de verificação através da ligação https://portal.checkpoint.com/.
- Uma vez iniciada a sessão, crie um site no portal Infinity do ponto de verificação através da ligação https://sc1.checkpoint.com/documents/integrations/VeloCloud/check-point-VeloCloud-integration.html.
Configurar um Destino Não-SD-WAN do tipo Ponto de verificação
- Depois de criar uma configuração Destino Não-SD-WAN do tipo Ponto de verificação (Check Point), será redirecionado para uma página de opções de configuração adicionais:
- Pode configurar as seguintes definições de túnel:
Opção Descrição Geral Nome (Name) Pode editar o nome anteriormente introduzido para o Destino Não-SD-WAN. Tipo (Type) Apresenta o tipo como Ponto de verificação (Check Point). Não é possível editar esta opção. Ativar Túnel(eis) (Enable Tunnel(s)) Clique no botão de alternar para iniciar os túneis no SD-WAN Gateway para o gateway VPN de ponto de verificação. Modo de túnel (Tunnel Mode) O modo Ativo/Reserva Dinâmica (Active/Hot-Standby) aparece a indicar que, se o túnel Ativo ficar inativo, será assumido o túnel Standby [Reserva dinâmica (Hot-Standby)], que se tornará no túnel ativo. Gateway VPN Principal (Primary VPN Gateway) IP público (Public IP) Apresenta o endereço IP do gateway VPN principal. PSK A chave pré-partilhada (PSK) é a chave de segurança para autenticação através do túnel. Por predefinição, o SD-WAN Orchestrator gera um PSK. Se quiser criar a sua própria PSK ou palavra-passe, introduza-a na caixa de texto. Encriptação (Encryption) Selecione AES-128 ou AES-256 como o tamanho de chave do algoritmo AES para encriptar os dados. O valor predefinido é AES-128. Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) na lista pendente. É utilizado para gerar material de codificação. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5 e 14. O valor predefinido é 2. PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são desativado (deactivated), 2 e 5. O valor predefinido é 2. VPN VMware Cloud redundante (Redundant VMware Cloud VPN) Selecione a caixa de verificação para adicionar túneis redundantes a cada gateway VPN. As alterações feitas à Encriptação (Encryption), ao Grupo DH (DH Group) ou ao PFS do gateway VPN principal também serão aplicadas aos túneis VPN redundantes, se configurados. Gateway VPN secundário (Secondary VPN Gateway) Clique no botão Adicionar (Add) e, em seguida, introduza o endereço IP do gateway VPN secundário. Clique em Guardar alterações (Save Changes). O gateway VPN secundário será criado imediatamente para este site e aprovisionará um túnel VPN do VMware a este gateway.
ID de autenticação local O ID de autenticação local define o formato e identificação do gateway local. No menu pendente, escolha um dos tipos seguintes e introduza um valor: - FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo: vmware.com
- Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, [email protected]
- IPv4 – O endereço IP utilizado para comunicar com o gateway local.
- IPv6 – O endereço IP utilizado para comunicar com o gateway local.
Nota:- Se não especificar nenhum valor, será utilizada a opção Predefinição (Default) como o ID de autenticação local.
- Para o Destino Não-SD-WAN do ponto de verificação, o valor do ID de autenticação local predefinido utilizado é o IP público da interface do SD-WAN Gateway.
IKE/IPsec de exemplo Clique para ver as informações necessárias para configurar o gateway Destino Não-SD-WAN. O administrador do gateway deve utilizar estas informações para configurar os túneis VPN do gateway. Localização (Location) Clique em Editar (Edit) para definir a localização para o Destino Não-SD-WAN configurado. Os detalhes de latitude e longitude são utilizados para determinar o melhor Edge ou gateway para se ligar à rede. Sub-redes do site (Site Subnets) Utilize o botão de alternar para ativar ou desativar as Sub-redes do site (Site Subnets). Clique em Adicionar (Add) para adicionar sub-redes para Destino Não-SD-WAN. Se não necessitar de sub-redes para o site, selecione a sub-rede e clique em Eliminar (Delete). Nota: Para suportar o tipo de centro de dados do Destino Não-SD-WAN, além da ligação IPsec, terá de configurar as sub-redes locais do Destino Não-SD-WAN no sistema VMware. - Clique em Guardar alterações (Save Changes).
Pré-requisitos
É necessário ter uma conta de ponto de verificação ativa e credenciais de início de sessão para aceder ao portal Infinity do ponto de verificação.