您可以定義 非 SD-WAN 目的地 執行個體並將其設定為 Forcepoint Cloud Security Gateway,並透過 VMware SD-WAN Edge 建立 Forcepoint Cloud Security Gateway 的安全 IPSec 通道。
若要設定透過 Edge 的非 SD-WAN 目的地:
必要條件
確保您擁有登入 VMware SD-WAN Orchestrator 的管理員權限。
程序
- 登入 SD-WAN Orchestrator,並導覽至管理客戶 (Manage Customers)。
- 按一下流量將路由至 Forcepoint Cloud Security Gateway 之客戶的連結。
- 在企業入口網站中,按一下。
- 在透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 窗格中,按一下新增 (New),以建立新的非 SD-WAN 目的地。
- 在新增透過 Edge 的非 SD-WAN 目的地 (New Non SD-WAN Destination via Edge) 視窗中,設定下列項目:
選項 |
說明 |
服務名稱 (Service Name) |
輸入非 SD-WAN 目的地的描述性名稱。 |
服務類型 (Service Type) |
針對類型選取一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))。 |
按
下一步 (Next)。
- 在下一個視窗中,設定下列設定:
按一下
進階 (Advanced),為主要和次要 VPN 閘道設定其他 IPSec 通道參數,如下所示:
選項 |
說明 |
加密 (Encryption) |
從下拉式清單中選取 AES-256 作為 AES 演算法金鑰,以加密資料。 |
DH 群組 (DH Group) |
將交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法選取為 14。DH 群組會設定演算法的強度 (以位元為單位)。 |
PFS |
將完全正向加密 (PFS) 層級選取為已停用 (Deactivated)。 |
雜湊 (Hash) |
從下拉式清單中選取 SHA 256 作為 VPN 標頭的驗證演算法。 |
IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) |
輸入 IKE SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 10 到 1440 分鐘。預設值為 1440 分鐘。 |
IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) |
輸入 IPSec SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 3 到 480 分鐘。預設值為 480 分鐘。 |
DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) |
輸入裝置在將對等視為無作用之前,需等待接收對 DPD 訊息回應的時間上限。預設值為 20 秒。您可以將 DPD 逾時計時器設定為零 (0) 來停用 DPD。 |
對於次要 VPN 閘道,請選取
通道設定與主要 VPN 閘道相同 (Tunnel settings are same as Primary VPN Gateway) 核取方塊,以設定類似於主要 VPN 閘道的通道設定。將為 Edge 設定 2 個通道。
選擇其他設定的預設值。
按一下
儲存變更 (Save Changes) 並關閉視窗。
結果
新增的透過 Edge 的非 SD-WAN 目的地會顯示在網路服務 (Network Services) 視窗中:
下一步
設定設定檔,以使用新增的透過 Edge 的非 SD-WAN 目的地。請參閱設定設定檔使用透過 Edge 的非 SD-WAN 目的地。