您可以定義 非 SD-WAN 目的地 執行個體並將其設定為 Forcepoint Cloud Security Gateway,並透過 VMware SD-WAN 閘道 建立 Forcepoint Cloud Security Gateway 的安全 IPSec 通道。

若要設定透過閘道的非 SD-WAN 目的地:

必要條件

確保您擁有登入 VMware SD-WAN Orchestrator 的管理員權限。

程序

  1. 登入 SD-WAN Orchestrator,並導覽至管理客戶 (Manage Customers)
  2. 按一下流量將路由至 Forcepoint Cloud Security Gateway 之客戶的連結。
  3. 在企業入口網站中,按一下設定 (Configure) > 網路服務 (Network Services)
  4. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 窗格中,按一下新增 (New),以建立新的非 SD-WAN 目的地。
  5. 新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destination via Gateway) 視窗中,設定下列項目:
    選項 說明
    名稱 (Name) 輸入非 SD-WAN 目的地的描述性名稱。
    類型 (Type) 針對類型選取一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))
    主要 VPN 閘道 (Primary VPN Gateway) 輸入來自 Forcepoint Cloud Security Gateway Edge 裝置 (Edge Device) 組態的第一個資料中心的 IP 位址。
    次要 VPN 閘道 (Secondary VPN Gateway) 輸入來自 Forcepoint Cloud Security Gateway Edge 裝置 (Edge Device) 組態的第二個資料中心的 IP 位址。
    下一步 (Next)
  6. 在下一個視窗中,設定下列設定:
    非 SD-WAN 目的地的 名稱 (Name)類型 (Type) 隨即顯示。選取 啟用通道 (Enable Tunnel(s)) 核取方塊,以啟用通道。
    按一下 進階 (Advanced),為主要和次要 VPN 閘道設定其他 IPSec 通道參數,如下所示:
    選項 說明
    PSK 在 Forcepoint Cloud Security Gateway 中,輸入用於設定 Edge 裝置 (Edge Device) 的預先共用金鑰。
    備援通道 PSK (Redundant Tunnel PSK) 重複輸入預先共用金鑰。
    加密 (Encryption) 從下拉式清單中選取 AES-256 作為 AES 演算法金鑰,以加密資料。
    DH 群組 (DH Group) 選取交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。
    PFS 將完全正向加密 (PFS) 層級選取為已停用 (deactivated)
    雜湊 (Hash) 從下拉式清單中選取 SHA 256 作為 VPN 標頭的驗證演算法。
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 輸入 IKE SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 10 到 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 輸入 IPSec SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 3 到 480 分鐘。預設值為 480 分鐘。
    DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) 輸入裝置在將對等視為無作用之前,需等待接收對 DPD 訊息回應的時間上限。預設值為 20 秒。您可以將 DPD 逾時計時器設定為零 (0) 來停用 DPD。
    備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) - 選取此核取方塊,以從主要和次要閘道建立 IPSEC 通道。
    站台子網路 (Site Subnets) - 使用加號 ( +) 圖示來新增 非 SD-WAN 目的地的子網路。如果您不需要站台的子網路,請選取 停用站台子網路 (Deactivate Site Subnets) 核取方塊。

    本機驗證識別碼 (Local Auth Id) - 從下拉式清單中選取 FQDN 作為本機驗證識別碼,然後輸入在 Forcepoint Cloud Security Gateway 中設定 Edge 裝置 (Edge Device) 時所使用的 DNS 名稱。

    按一下 儲存變更 (Save Changes) 並關閉視窗。

結果

新增的透過閘道的非 SD-WAN 目的地會顯示在網路服務 (Network Services) 視窗中:

下一步

設定設定檔,以使用新增的透過閘道的非 SD-WAN 目的地。請參閱設定設定檔使用透過閘道的非 SD-WAN 目的地