您可以定義 非 SD-WAN 目的地 執行個體並將其設定為 Forcepoint Cloud Security Gateway,並透過 VMware SD-WAN Edge 建立 Forcepoint Cloud Security Gateway 的安全 IPSec 通道。

若要設定透過 Edge 的非 SD-WAN 目的地:

必要條件

確保您擁有登入 VMware SD-WAN Orchestrator 的管理員權限。

程序

  1. 登入 SD-WAN Orchestrator,並導覽至管理客戶 (Manage Customers)
  2. 按一下流量將路由至 Forcepoint Cloud Security Gateway 之客戶的連結。
  3. 在企業入口網站中,按一下設定 (Configure) > 網路服務 (Network Services)
  4. 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 窗格中,按一下新增 (New),以建立新的非 SD-WAN 目的地。
  5. 新增透過 Edge 的非 SD-WAN 目的地 (New Non SD-WAN Destination via Edge) 視窗中,設定下列項目:
    選項 說明
    服務名稱 (Service Name) 輸入非 SD-WAN 目的地的描述性名稱。
    服務類型 (Service Type) 針對類型選取一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))
    下一步 (Next)
  6. 在下一個視窗中,設定下列設定:
    按一下 進階 (Advanced),為主要和次要 VPN 閘道設定其他 IPSec 通道參數,如下所示:
    選項 說明
    加密 (Encryption) 從下拉式清單中選取 AES-256 作為 AES 演算法金鑰,以加密資料。
    DH 群組 (DH Group) 將交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法選取為 14。DH 群組會設定演算法的強度 (以位元為單位)。
    PFS 將完全正向加密 (PFS) 層級選取為已停用 (Deactivated)
    雜湊 (Hash) 從下拉式清單中選取 SHA 256 作為 VPN 標頭的驗證演算法。
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 輸入 IKE SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 10 到 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 輸入 IPSec SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 3 到 480 分鐘。預設值為 480 分鐘。
    DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) 輸入裝置在將對等視為無作用之前,需等待接收對 DPD 訊息回應的時間上限。預設值為 20 秒。您可以將 DPD 逾時計時器設定為零 (0) 來停用 DPD。
    對於次要 VPN 閘道,請選取 通道設定與主要 VPN 閘道相同 (Tunnel settings are same as Primary VPN Gateway) 核取方塊,以設定類似於主要 VPN 閘道的通道設定。將為 Edge 設定 2 個通道。
    選擇其他設定的預設值。
    按一下 儲存變更 (Save Changes) 並關閉視窗。

結果

新增的透過 Edge 的非 SD-WAN 目的地會顯示在網路服務 (Network Services) 視窗中:

下一步

設定設定檔,以使用新增的透過 Edge 的非 SD-WAN 目的地。請參閱設定設定檔使用透過 Edge 的非 SD-WAN 目的地