Configure um destino não-SD-WAN via gateway no SD-WAN Orchestrator para estabelecer um túnel IPSec seguro para o portal do Netskope através do SD-WAN Gateway.
Para configurar um destino não-SD-WAN via gateway:
Pré-requisitos
Certifique-se de que já configurou um túnel IPsec no portal NG SWG do Netskope. Consulte Configurar as credenciais VPN no portal Netskope.
Procedimento
- Inicie sessão no SD-WAN Orchestrator e verifique se as instâncias dos clientes são criadas e os Edges estão online.
- Clique na ligação para um nome de cliente para navegar para o portal da empresa.
- No portal da empresa, clique em Configurar (Configure) > Serviços de rede (Network Services).
- No painel Destinos não-SD-WAN via gateway (Non SD-WAN Destinations via Gateway), clique em Novo (New) para criar um novo destino não-SD-WAN.
- Na janela Novo destino não-SD-WAN via gateway (New Non SD-WAN Destination via Gateway), configure o seguinte:
Opção Descrição Nome (Name) Introduza um nome descritivo para o destino não-SD-WAN. Tipo (Type) Selecione o tipo como Router IKEv2 genérico (VPN baseada em caminho) [Generic IKEv2 Router (Route Based VPN)]. Gateway VPN Principal (Primary VPN Gateway) Introduza o endereço IP do POP principal utilizado para configurar o túnel VPN no portal do Netskope. Gateway VPN secundário (Secondary VPN Gateway) Introduza o endereço IP do POP secundário utilizado para configurar o túnel VPN no portal do Netskope. Clique em Seguinte (Next). - Na janela seguinte, configure as seguintes definições:
São apresentados o Nome (Name) e Tipo (Type) do destino não-SD-WAN. Selecione a caixa de verificação Ativar Túnel(eis) [Enable Tunnel(s)] para ativar o túnel.Clique em Avançado (Advanced) para configurar os outros parâmetros do túnel IPsec para os gateways VPN principal e secundário da seguinte forma:
Opção Descrição Encriptação (Encryption) Selecione a chave dos algoritmos AES da lista pendente, para encriptar dados. Se não pretender encriptar os dados, selecione Nulo (Null). O valor predefinido é AES 128. Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar a chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15 e 16. Recomenda-se a utilização do grupo DH 14. PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. O valor predefinido é desativado (deactivated). Hash Selecione o algoritmo de autenticação para o cabeçalho VPN na lista pendente. Estão disponíveis as seguintes opções do algoritmo hash seguro (SHA): - SHA 1
- SHA 256
- SHA 384
- SHA 512
O valor predefinido é SHA 256.
Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Introduza o tempo de vida IKE SA em minutos. A recodificação deve ser iniciada para os Edges antes de o tempo expirar. O intervalo é de 10 a 1440 minutos. O valor predefinido é 1440 minutos. Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Introduza o tempo de vida IPsec SA em minutos. A recodificação deve ser iniciada para os Edges antes de o tempo expirar. O intervalo é de 3 a 480 minutos. O valor predefinido é 480 minutos. Temporizador de tempo limite DPD (seg) [DPD Timeout Timer(sec)] Introduza o tempo máximo que o dispositivo deve aguardar para receber uma resposta à mensagem DPD antes de considerar o par como morto. O valor predefinido é 20 segundos. Pode desativar o DPD configurando o temporizador de tempo limite DPD como Zero (0). VPN de cloud VeloCloud redundante (Redundant VeloCloud Cloud VPN) – Selecione a caixa de verificação para estabelecer os túneis IPSEC no SD-WAN Gateways principal e secundário.Sub-redes do site (Site Subnets) – Adicione sub-redes para o Destino Não-SD-WAN utilizando o ícone de mais ( +). Se não necessitar de sub-redes para o site, selecione a caixa de verificação Desativar sub-redes do site (Deactivate Site Subnets).ID de autenticação local (Local Auth Id) Selecione o ID de autenticação local na lista pendente, para definir o formato e a identificação do gateway local. As seguintes opções estão disponíveis:- Predefinição (Default) – Por predefinição, o endereço IP público da interface do SD-WAN Gateway é utilizado como ID de autenticação local.
- FQDN – O nome de domínio totalmente qualificado ou o nome de anfitrião. Por exemplo, google.com.
- Utilizador FQDN (User FQDN) – O nome de domínio totalmente qualificado do utilizador na forma de endereço de e-mail. Por exemplo, [email protected].
- IPv4 – O endereço IP utilizado para comunicar com o gateway local.
Clique em Guardar alterações (Save Changes) e feche a janela.
Resultados
O novo destino não-SD-WAN via gateway é apresentado na janela Serviços de rede (Network Services):
Como proceder a seguir
Configure o perfil para utilizar o novo destino não-SD-WAN via gateway. Consulte Configurar o perfil com destino não-SD-WAN via gateway.