云虚拟专用网络 (VPN) 启用 VPNC 兼容 IPSec VPN 连接以连接 VMware SD-WANNon-VMware SD-WAN Sites。它还指示站点的运行状况(启动或关闭状态),并提供站点的实时状态。

云 VPN 支持以下流量:

  • 分支到 Non-VMware SD-WAN Site
  • 分支到 SD-WAN Hub
  • 分支到分支 VPN

下图表示云 VPN 的所有三个分支。图中的编号表示每个分支,并对应于下表中的描述。

vpn-cloud-vpn-intro

编号(在上图中) 描述
red-1 Non-VMware SD-WAN Site
red-2 分支到 SD-WAN Hub
red-3 分支到分支 VPN
red-4 分支到 Non-VMware SD-WAN Site
red-5 分支到 Non-VMware SD-WAN Site

分支到 Non-VMware SD-WAN Site

分支到 Non-VMware SD-WAN Site 支持以下配置:

  • 使用现有的防火墙 VPN 路由器连接到客户数据中心
  • Iaas
  • 连接到 CWS (Zscaler)

使用现有的防火墙 VPN 路由器连接到客户数据中心

VMware SD-WAN Gateway 和数据中心防火墙(任何 VPN 路由器)之间的 VPN 连接在分支(安装了 SD-WAN Edges)和 Non-VMware SD-WAN Sites 之间提供连接,从而简化了插入过程,也就是说,无需安装客户数据中心。

下图显示了一种 VPN 配置:

vpn-cloud-vpn-branch-to-non-vmware-sd-wan-site

编号(在上图中) 描述
red-1 主隧道
red-2 冗余隧道
red-3 辅助 VPN 网关

VMware SD-WAN 支持到以下第三方防火墙的 VPN 连接:

  • Cisco ASA
  • Cisco ISR
  • PaloAlto
  • SonicWall
  • 通用路由器(基于路由器的 VPN)
  • 通用防火墙(基于策略的 VPN)

有关如何配置分支到 Non-VMware SD-WAN Site 的信息,请参阅创建 Non-VMware SD-WAN Site

Iaas

在使用 Amazon Web Services (AWS) 进行配置时,请使用“Non-VMware SD-WAN Site”(Non-VMware SD-WAN Site) 对话框中的“通用防火墙 (基于策略的 VPN)”(Generic Firewall (Policy Based VPN)) 选项。

通过第三方进行配置可以为您带来以下好处:

  • 消除网格
  • 成本
  • 性能

正如下图中所示,与传统的 WAN 到 VPC 相比,VMware SD-WAN 云 VPN 易于设置(SD-WAN Gateways 的全局网络消除了到 VPC 的网格隧道要求),具有集中式策略以控制分支 VPC 访问,并确保性能和连接安全。

vpn-cloud-vpn-iaas

有关如何使用 Amazon Web Services (AWS) 进行配置的信息,请参阅配置 Amazon Web Services一节。

连接到 CWS (Zscaler)

Zscaler Web 安全功能提供了安全性、可见性和控制。Zscaler 是在云中提供的,它使用一些功能以提供 Web 安全性,包括威胁防护、实时分析和取证。

使用 Zscaler 进行配置具有以下优势:

  • 性能:直接连接到 Zscaler(通过网关的 Zscaler)
  • 管理代理是非常复杂的:启用简单的点击策略感知 Zscaler

分支到 SD-WAN Hub

SD-WAN Hub 是在数据中心部署的 Edge,以使分支能够访问数据中心资源。您必须在 SD-WAN Orchestrator 中设置 SD-WAN HubSD-WAN Orchestrator 向所有 SD-WAN Edges 通知 Hub,并且 SD-WAN Edges 建立到 Hub 的安全覆盖网络多路径隧道。

下图说明了如何支持活动-备用设备和活动-活动设备。

vpn-cloud-vpn-branch-to-hub

分支到分支 VPN

分支到分支 VPN 支持一些配置,以便在分支之间建立 VPN 连接以提高性能和可扩展性。

分支到分支 VPN 支持两种配置:

  • 云网关
  • VPN 的 SD-WAN Hubs

下图显示了云网关和 SD-WAN Hub 的分支到分支流量。

vpn-cloud-vpn-branch-to-branch-vpn

您也可以为云网关和 Hub 启用动态分支到分支 VPN。

您可以从 SD-WAN Orchestrator 云 VPN (Cloud VPN) 区域的配置 (Configure) > 配置文件 (Profiles) > 设备 (Device) 选项卡中访问一键式云 VPN 功能。

注: 有关配置云 VPN 的分步说明,请参阅 配置云 VPN