VMware SD-WAN 和 Netskope 集成指南说明书

VMware SD-WAN 和 Netskope 集成指南VMware SD-WAN
您可以从 VMware 网站下载最新的技术文档：https:///cn/。

VMware, Inc.
3401 Hillview Ave. Palo Alto, CA 94304 威睿信息技术（中国）有
限公司
北京办公室
北京市
朝阳区新源南路 8 号
启皓北京东塔 8 层 801
/cn
上海办公室
上海市
淮海中路 333 号
瑞安大厦 804-809 室
/cn
广州办公室
广州市
天河路 385 号
太古汇一座 3502 室
/cn
版权所有© 2021 VMware, Inc. 保留所有权利。

版权和商标信息VMware SD-WAN 和 Netskope 集成指南
目录
1VMware SD-WAN 和 Netskope 集成指南4 SD-WAN 和 Netskope 集成概览4
系统要求5
配置从 SD-WAN 网关到 Netskope POP 的 IPsec6在 Netskope 门户上配置 VPN 凭据6
配置通过网关的非 SD-WAN 目标8
为通过网关的非 SD-WAN 目标设置配置文件12
为非 SD-WAN 目标创建业务策略13
监控通过网关的非 SD-WAN 目标15
测试和验证安全策略16
VMware SD-WAN 和 Netskope 集
成指南1
《VMware SD-WAN™和 Netskope 集成指南》介绍了将 Netskope 下一代安全 Web 网关与 VMware SD-WAN Orchestrator 集成所需的配置。

本章讨论了以下主题：
n SD-WAN 和 Netskope 集成概览
n系统要求
n配置从 SD-WAN 网关到 Netskope POP 的 IPsec
n配置通过网关的非 SD-WAN 目标
n测试和验证安全策略
SD-WAN 和 Netskope 集成概览
VMware SD-WAN 与 Netskope 下一代安全 Web 网关 (Secure Web Gateway, SWG) 集成在一起，以便为组织提供基于云的全面安全性以及优化的连接。

VMware SD-WAN 提供网络服务，以便为云服务、专用数据中心和基于 SaaS 的企业应用程序提供高性能的可靠访问，而 Netskope 提供补充的安全服务（例如下一代 SWG、提供启用 API 的保护和内联保护的云访问安全代理 (Cloud Access Security Broker, CASB)），它们共同为用户、应用程序和数据提供高级数据保护和威胁防护。

VMware SD-WAN Edge 可以作为物理设备或虚拟机部署在客户站点。

Edge 通过安全 IPsec 与 Netskope 安全云进行通信。

在访问 AWS 或 Azure 等公有云或 Office 365 和 Workday 等 SaaS 应用程序时，VMware SD-WAN Gateway将流量传输到 Netskope 安全云，将在其中应用具有高级数据保护和威胁防护的精细活动和安全控制。

更具体地说，这会将用户的虚拟访问扩展到新的 Edge 全局网络基础架构，该基础架构作为 Netskope 安全云的网络基础，并提供对云应用程序、基础架构和网站的高容量且低延迟的访问，从而获得高性能的用户体验。

Netskope 和 VMware 紧密集成了安全和 SD-WAN 功能以提供网络优化服务（如加速、QoS 和消除抖动）以及云原生融合单通安全控制（如 CASB、SWG、DLP 和 ZTNA），从而为组织提供可高度扩展、快速且安全的环境以保护传统公司范围内外的用户和数据。

系统要求
Netskope 下一代安全 Web 网关
n活动 Netskope 租户
n管理员登录凭据
n能够在 SWG 服务中配置各种不同的策略
VMware SD-WAN Orchestrator
n企业帐户能够访问 VMware SD-WAN Orchestrator
n管理员登录凭据
VMware 和 Netskope 测试了以下方案：
n来自网关的基于 IKEv2 的 NSD 隧道 - 用于单个租户的 Netskope POP。

n来自网关的基于 IKEv2 的 NSD 隧道 - 用于多个租户的多个隧道，它们使用相同的源（VMware SD-WAN 网关 IP 地址）和目标（基于 Strongswan 5.71 的 Netskope POP）以及 FQDN。

n使用上述 IPsec 隧道传输来自多个租户的流量，并将不同的 Netskope 策略应用于每个租户。

从 VMware 和 Netskope POP 角度以冗余方式启动隧道，并测试故障切换方案。

n从 Edge 到 Netskope POP 的基于 IKEv2 的 NSD 隧道。

配置从 SD-WAN 网关到 Netskope POP 的 IPsec
要集成 VMware SD-WAN 和 Netskope，请配置从 SD-WAN 网关到 Netskope POP 的 IPsec 隧道。

在 Netskope 门户上配置 VPN 凭据
要配置 VPN 凭据，请执行以下操作：
前提条件
确保您具有有效的登录凭据以访问 Netskope。

步骤
1导航到 Netskope NG SWG 门户：https://<customer-tenant>/。

2配置 Netskope 隧道以与 VMware SD-WAN 连接。

在 Netskope 门户中，单击设置 (Settings) > 安全云平台 (Security Cloud Platform) > 流量转向 (Traffic Steering) > IPsec。

3单击添加新的隧道 (Add New Tunnel)。

4在添加新的 IPsec 隧道 (Add New IPsec Tunnel)窗口中，配置以下设置：
单击添加 (Add)。

5配置的隧道显示在 IPsec 窗口中。

6选择该隧道，然后单击启用 (Enable)以启动该隧道。

在 Netskope 和 VMware SD-WAN 之间成功验证并建立隧道后，第一列中的状态箭头图标将显示为绿色。

后续步骤
在 VMware SD-WAN Orchestrator 中配置隧道。

请参阅配置通过网关的非 SD-WAN 目标。

配置通过网关的非 SD-WAN 目标
在 SD-WAN Orchestrator 中配置通过网关的非 SD-WAN 目标，以通过 SD-WAN 网关建立到 Netskope 门户的安全 IPsec 隧道。

要配置通过网关的非 SD-WAN 目标，请执行以下操作：
前提条件
确保您已在 Netskope NG SWG 门户中配置 IPsec 隧道。

请参阅在 Netskope 门户上配置 VPN 凭据。

步骤
1登录到 SD-WAN Orchestrator，然后确认已创建客户实例并且 Edge 处于联机状态。

2单击客户名称的链接以导航到企业门户。

3在企业门户中，单击配置 (Configure) > 网络服务 (Network Services)。

4在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway)窗格中，单击新建 (New)以创建新的非 SD-WAN 目标。

5在新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destination via Gateway)窗口中，配置以下设置：
单击下一步 (Next)。

6在下一个窗口中，配置以下设置：
将显示非 SD-WAN 目标的名称 (Name)和类型 (Type)。

选中启用隧道 (Enable Tunnel(s))复选框以激活隧道。

单击高级 (Advanced)，以便为主要和辅助 VPN 网关配置其他 IPsec 隧道参数，如下所示：
冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) - 选中该复选框以从主要和辅助 SD-WAN 网关建立 IPsec 隧道。

站点子网 (Site Subnets) - 使用加号 (+) 图标为非 SD-WAN 目标添加子网。

如果您不需要使用站点的子网，请选中停用站点子网 (Deactivate Site Subnets)复选框。

本地身份验证 ID (Local Auth Id) - 从下拉列表中选择本地身份验证 ID 以定义本地网关的格式和标识。

可以使用以下选项：
n默认 (Default) - 默认情况下，SD-WAN 网关的接口公用 IP 地址用作本地身份验证 ID。

n FQDN - 完全限定域名或主机名。

例如，。

n用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。

例如，***************。

n IPv4 - 用于与本地网关通信的 IP 地址。

单击保存更改 (Save Changes)并关闭该窗口。

结果
将在网络服务 (Network Services)窗口中显示新的通过网关的非 SD-WAN 目标：
设置配置文件以使用新的通过网关的非 SD-WAN 目标。

请参阅为通过网关的非 SD-WAN 目标设置配置文件。

为通过网关的非 SD-WAN 目标设置配置文件
您可以设置配置文件，以便在分支和通过网关的非 SD-WAN 目标之间建立 VPN 连接。

前提条件
确保您使用所需的 IPsec 隧道参数创建了通过网关的非 SD-WAN 目标。

要创建通过网关的非 SD-WAN 目标，请参阅配置通过网关的非 SD-WAN 目标。

步骤
1在企业门户中，单击配置 (Configure) > 配置文件 (Profiles)。

2单击一个配置文件的设备 (Device)图标，或者选择一个配置文件，然后单击设备 (Device)选项卡。

3在设备 (Device)选项卡中，向下滚动到云 VPN (Cloud VPN)部分，然后单击滑块以移动到开启 (ON)位置。

4要在分支和通过网关的非 SD-WAN 目标之间建立 VPN 连接，请选中分支到通过网关的非 SD-WAN 目标 (Branch to Non SD-WAN Destinations via Gateway)下面的启用 (Enable)复选框。

从下拉菜单中选择一个通过网关的非 SD-WAN 目标以建立 VPN 连接。

单击加号 (+) 图标以添加更多项。

5单击保存更改 (Save Changes)。

创建业务策略以将流量从非 SD-WAN 目标隧道路由到 Netskope 门户。

请参阅为非 SD-WAN 目标创建业务策略。

为非 SD-WAN 目标创建业务策略
在分支和通过网关的非 SD-WAN 目标之间建立 VPN 连接后，创建业务策略以路由来自非 SD-WAN 目标隧道的流量。

前提条件
确保您在分支和通过网关的非 SD-WAN 目标之间建立了 VPN 连接。

请参阅为通过网关的非 SD-WAN 目标设置配置文件。

步骤
1在企业门户中，单击配置 (Configure) > 配置文件 (Profiles)。

2从列表中选择一个配置文件，然后单击业务策略 (Business Policy)选项卡。

3单击新建规则 (New Rule)，或单击操作 (Actions) > 新建规则 (New Rule)。

4输入业务规则的名称。

5在匹配 (Match)区域中，单击定义 (Define)，然后选择Internet以作为“目标”(Destination)。

6为应用程序 (Application)选择Web。

7在操作 (Action)区域中，单击Internet 回传 (Internet Backhaul)以作为“网络服务”(Network Service)。

8选择通过网关的非 SD-WAN 目标 (Non SD-WAN Destination via Gateway)，然后选择使用 Netskope 隧道参数创建的非 SD-WAN 目标服务。

9根据需要，选择其他操作，然后单击确定 (OK)。

结果
业务策略使用 IPsec 隧道将发送到 Internet 的 HTTP/HTTPS 流量重定向到 Netskope POP。

新创建的策略安装在顶部，并先进行检查。

后续步骤
您可以监控网络服务以验证隧道是否联机。

请参阅监控通过网关的非 SD-WAN 目标。

监控通过网关的非 SD-WAN 目标
您可以使用“监控”(Monitoring) 选项卡监控和验证非 SD-WAN 目标隧道配置。

要监控非 SD-WAN 目标隧道配置，请执行以下操作：
1在企业门户中，单击监控 (Monitor) > 网络服务 (Network Services)。

2通过网关的非 SD-WAN 目标部分显示配置的非 SD-WAN 目标及其状态。

测试和验证安全策略
在 Netskope 安全云中配置安全策略，以验证 Netskope 和 VMware SD-WAN 流量之间的连接。

以下步骤描述了配置安全策略以阻止赌博相关网站的示例。

注如果已在门户中传输生产流量，您可以跳过该过程。

前提条件
确保成功连接了到主要和辅助 Netskope POP 的 IPsec 隧道。

步骤
1登录到 Netskope 下一代安全 Web 网关，然后导航到策略 (Policies) > 实时保护 (Real-time Protection)。

配置一个策略以阻止所有赌博相关网站，如下图所示。

2确认已应用该策略，并记下该策略的当前命中或匹配数。

在下面的示例中，命中数为 0 个。

3在 Edge 中，登录到 LAN 上任何基于 Windows 的客户端，然后尝试浏览任何基于赌博的网站。

请注意，根据 Netskope 门户中配置的策略，将阻止该操作。

4在 Netskope 下一代安全 Web 网关中，导航到策略 (Policies) > 实时保护 (Real-time Protection) 以检查Block Gambling Sites策略的命中数。

请注意，命中数已增加，这表明正在通过 Netskope 云安全平台传输流量。

5导航到 Skope IT 门户，并在页面事件 (Page Events)屏幕中确认匹配数。

6检查 VMware SD-WAN Orchestrator 门户中的活动流量，以验证流量是否经由通过网关的非 SD-WAN 目标以最终传送到 Netskope 安全云。

a在企业门户中，单击测试与故障排除 (Test & Troubleshoot) > 远程诊断 (Remote Diagnostics)。

b远程诊断 (Remote Diagnostics)页面显示所有活动 Edge。

c选择配置了通过网关的非 SD-WAN 目标的 Edge。

该 Edge 将进入实时模式，并显示您可以在该 Edge 上运行的所有可能的远程诊断测试。

d向下滚动到列出活动流量 (List Active Flows)部分，然后单击运行 (Run)以查看流量。

请注意，发送到 URL 的流量通过 Internet 回传路由进行中转，并最终传输到 Netskope 安全云。