SD-WAN Orchestrator 中設定透過閘道的非 SD-WAN 目的地,以建立透過 SD-WAN 閘道 到 Netskope 入口網站的安全 IPSec 通道。

若要設定透過閘道的非 SD-WAN 目的地:

必要條件

確保您已在 Netskope NG SWG 入口網站中設定 IPSec 通道。請參閱在 Netskope 入口網站上設定 VPN 認證

程序

  1. 登入 SD-WAN Orchestrator,並確認已建立客戶執行個體,並且 Edge 處於線上狀態。
  2. 按一下客戶名稱的連結,以導覽至企業入口網站。
  3. 在企業入口網站中,按一下設定 (Configure) > 網路服務 (Network Services)
  4. 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 窗格中,按一下新增 (New),以建立新的非 SD-WAN 目的地。
  5. 新增透過閘道的非 SD-WAN 目的地 (New Non SD-WAN Destination via Gateway) 視窗中,設定下列項目:
    選項 說明
    名稱 (Name) 輸入非 SD-WAN 目的地的描述性名稱。
    類型 針對類型選取一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))
    主要 VPN 閘道 (Primary VPN Gateway) 輸入用來設定 Netskope 入口網站中 VPN 通道的主要 POP 的 IP 位址。
    次要 VPN 閘道 (Secondary VPN Gateway) 輸入用來設定 Netskope 入口網站中 VPN 通道的次要 POP 的 IP 位址。
    下一步 (Next)
  6. 在下一個視窗中,設定下列設定:
    非 SD-WAN 目的地的 名稱 (Name)類型 (Type) 隨即顯示。選取 啟用通道 (Enable Tunnel(s)) 核取方塊,以啟用通道。
    按一下 進階 (Advanced),為主要和次要 VPN 閘道設定其他 IPSec 通道參數,如下所示:
    選項 說明
    加密 (Encryption) 從下拉式清單中選取 AES 演算法金鑰以加密資料。如果您不想加密資料,請選取 Null。預設值為 AES 128。
    DH 群組 (DH Group) 選取交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5、14、15 和 16。建議使用 DH 群組 14。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2、5、14、15 和 16。預設值是 [已停用 (Deactivated)]。
    雜湊 (Hash) 從下拉式清單中選取 VPN 標頭的驗證演算法。可使用下列安全雜湊演算法 (SHA) 選項:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    預設值為 SHA 256。
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 輸入 IKE SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 10 到 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 輸入 IPSec SA 存留時間 (以分鐘為單位)。在時間到期之前,應為 Edge 起始重設金鑰。範圍從 3 到 480 分鐘。預設值為 480 分鐘。
    DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) 輸入裝置在將對等視為無作用之前,需等待接收對 DPD 訊息回應的時間上限。預設值為 20 秒。您可以將 DPD 逾時計時器設定為零 (0) 來停用 DPD。
    備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) - 選取此核取方塊,以從主要和次要 SD-WAN 閘道建立 IPSEC 通道。
    站台子網路 (Site Subnets) - 使用加號 ( +) 圖示來新增 非 SD-WAN 目的地的子網路。如果您不需要站台的子網路,請選取 停用站台子網路 (Deactivate Site Subnets) 核取方塊。
    本機驗證識別碼 (Local Auth Id) - 從下拉式清單中選取本機驗證識別碼,以定義本機閘道的格式和識別。可用選項如下:
    • 預設 (Default) - 依預設,SD-WAN 閘道 的介面公用 IP 位址會用作本機驗證識別碼。
    • FQDN - 完整網域名稱或主機名稱。例如 google.com。
    • 使用者 FQDN (User FQDN) - 電子郵件地址形式的使用者完整網域名稱。例如 [email protected]
    • IPv4 - 用來與本機閘道進行通訊的 IP 位址。
    按一下 儲存變更 (Save Changes) 並關閉視窗。

結果

新增的透過閘道的非 SD-WAN 目的地會顯示在網路服務 (Network Services) 視窗中:

下一步

設定設定檔,以使用新增的透過閘道的非 SD-WAN 目的地。請參閱設定設定檔使用透過閘道的非 SD-WAN 目的地