Foro en Español

Reply
Highlighted
Occasional Contributor II

INTEGRACIÓN ARUBA CENTRAL SD-WAN - CHECKPOINT

Con más servicios moviéndose a una arquitectura basada en la nube, uno de los requisitos más comunes es permitir que las sucursales enruten el tráfico a su destino previsto a través de Internet. El acceso directo desde la sucursal a Internet permite una entrega más rápida y un uso eficiente del ancho de banda en lugar de canalizar el tráfico a un punto de agregación antes de enrutarlo a su destino final. Sin embargo, permitir que las sucursales se conecten directamente a Internet puede presentar problemas de seguridad.

 

Para mejorar la seguridad de las sucursales y proporcionar protección avanzada contra amenazas, Aruba admite la integración de SD-Branch con servicios de seguridad de red en la nube de terceros, como CheckPoint. CheckPoint Network Security as a Service es una plataforma de seguridad en la nube que proporciona prevención de amenazas de CheckPoint y control de acceso para sucursales. Con la integración de CheckPoint, los administradores de red pueden conectar el dispositivo Aruba Gateway a Network Security as a Service para aprovechar los mejores servicios de seguridad de red de CheckPoint e implementar una red SD-WAN segura.

 

La integración de SD-Branch con CheckPoint ofrece los siguientes beneficios:

  • Gestión de seguridad unificada para campus y redes de sucursales
  • Políticas de seguridad conscientes del contexto impulsadas por ClearPass
  • Enrutamiento inteligente del tráfico basado en el rol del usuario y la aplicación
  • Registro de eventos de seguridad y monitoreo

Perfiles criptográficos IKE e IPSEC compatibles

Aruba Branch Gateway y Check Point admiten varias opciones para configurar túneles VPN. Aruba y Check Point recomiendan usar IKEv2 para la seguridad en la nube.

 

Se recomiendan las siguientes configuraciones de cifrado para la configuración del túnel.

 

 

Parámetros

Fase 1

Fase 2

Confidencialidad

AES-256

AES-256

Integridad

SHA1

SHA1

Autenticación

Username/password

N/A

Intercambio de llaves

Diffie-Hellman

Diffie-Hellman

Grupo DH

Group 2

-

Validación

 

La integración de SD-Branch con CheckPoint requiere la configuración del portal Check Point y Aruba Gateways.

 

Antes de comenzar, realice las siguientes verificaciones:

 

  • Los Gateways Aruba están conectados y gestionadas desde Aruba Central.
  • Tiene acceso al portal web de Check Point y a las credenciales administrativas para configurar túneles con Aruba Gateways.

Configuración Gateways Aruba para integración con CheckPoint

 

  1. Vaya a “Gateway Management” en el selector de aplicaciones.
  2. Seleccione  Gateway o un grupo de dispositivos en el que se encuentre el Gateway.
  3. Haga clic en VPN> Cloud Security.
  4. En la sección IPSec Maps, haga clic en + para abrir la sección New IPsec Map.
  5. Seleccione CheckPoint como proveedor de seguridad en la nube en la lista desplegable.
  6. Ingrese un nombre para el IPsec Map. El límite de caracteres permitido es 128.
  7. Ingrese un número de prioridad para el IPsec Map dentro de un rango de 1 a 9998. Un valor de prioridad de 1 indica la prioridad más alta.
  8. Configure la transformación default-aes. Los conjuntos de transformación le permiten definir una combinación de protocolos de seguridad y configuraciones de cifrado que puede aplicar al flujo de tráfico IPsec.

Para agregar un conjunto de transformación:

  • Haga clic en + debajo de Transforms.
  • Del conjunto de transformaciones disponibles, seleccione default-aes. La transformación por defecto-aes usa el cifrado AES 256 con SHA1 Hash.
  • Haz clic en Save Settings.
  1. Seleccione una de las siguientes opciones en la fuente de túnel según sus requisitos. Seleccione la VLAN de la interfaz marcada como WAN que se utilizará para abrir los túneles al punto de control.
    • VLAN: seleccione una VLAN de la lista desplegable de VLAN.
    • Uplink VLAN: seleccione una Uplink VLAN de la lista desplegable VLAN de enlace ascendente (VLAN de Interfaz WAN).
  2. En el campo Tunnel Destination, especifique la dirección de FQDN del sitio de la sucursal configurado en el punto de verificación en el que se establecerá el túnel. (Información del FQDN que provee CheckPoint)
  3. Seleccione la opción Text-Based en el campo Representation Type de la lista desplegable.
  4. En el campo IKE Shared Secret, ingrese la clave secreta precompartida IKE que configuró en el portal Check Point y vuelva a escribir la clave secreta para confirmar.

La siguiente figura muestra los valores de configuración de muestra:

 

Captura de Pantalla 2020-10-06 a la(s) 14.02.39.png

Configuración Lista Next-Hop

Después de configurar los túneles, puede crear un Next Hop List para agrupar los túneles dentro de una política de enrutamiento.

 

Tenga en cuenta los siguientes puntos para la configuración de la lista del siguiente salto:

 

  • Si desea utilizar los túneles IPsec (primario y secundario) en el modo Activo-Activo, asigne la misma prioridad a los túneles.
  • Si desea utilizar los túneles en el modo de activo - pasivo, asigne una prioridad más alta para el túnel que apunta al nodo primario y habilite la opción Preemptive-failover.
  1. Seleccione Routing > NextHop Configuration.
  2. Cree un NextHop utilizando el símbolo de +.
  3. Agregue los Site-to-Site maps.
  4. Ingrese diferentes prioridades para los diferentes túneles.
  5. Seleccione Preemptive-failover en caso de aplicar.

Captura de Pantalla 2020-10-06 a la(s) 14.04.10.png

Configuración Policy Based Routing (PBR)

Después de crear la lista Next-Hop, debe agregar la politica de enrutamiento (Policy Based Routing).

 

  1. Agregue el siguiente salto a una política de enrutamiento seleccionando Routing > Policy-Based Routing.
  2. En el siguiente ejemplo, la política está enviando todo el tráfico a subredes privadas (un alias que representa 10.0.0.0/8 y 172.16.0.0/12) a través de la ruta normal, y está enviando el resto del tráfico a través de CheckPoint.
    1. NOTA: se requiere la generación del ALIAS con las redes privadas.
    2. Para mas infomracion > Creando Alias. 

En el ejemplo que se muestra en la figura siguiente, la política está enviando todo el tráfico a subredes privadas a través de la ruta normal y el resto del tráfico a través de los nodos Check Point.

Captura de Pantalla 2020-10-06 a la(s) 14.06.03.png

Aplicar Políticas a Roles y VLAN's

 

La siguiente pantalla muestra la configuración del ROLE

Captura de Pantalla 2020-10-06 a la(s) 14.08.44.png

Captura de Pantalla 2020-10-06 a la(s) 14.09.31.png

Después de configurar un Policy Based Routing, asignela a un ROLE y VLAN.

 

La siguiente pantalla muestra una política PBR que se aplica a una VLAN.

Captura de Pantalla 2020-10-06 a la(s) 14.10.36.png

La siguiente pantalla muestra una política PBR que se aplica a un ROLE. 

Captura de Pantalla 2020-10-06 a la(s) 14.11.31.png

Captura de Pantalla 2020-10-06 a la(s) 14.12.09.png

Verificar el estatus del Túnel

 

Para verificar el estado del túnel de red remoto, realice lo siguiente.

Verifique el estado del túnel desde la interfaz de Aruba Central desde “Gateway monitor” en la sección Tunnels.

Captura de Pantalla 2020-10-06 a la(s) 14.13.33.png

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: