VMware 支持以下 Non VMware SD-WAN Site 配置:

  • Check Point
  • Cisco ASA
  • Cisco ISR
  • 通用 IKEv2 路由器(基于路由的 VPN)
  • Microsoft Azure 虚拟 Hub
  • Palo Alto
  • SonicWALL
  • Zscaler
  • 通用 IKEv1 路由器(基于路由的 VPN)
  • 通用防火墙(基于策略的 VPN)
    注: VMware 现在支持通用 IKEv1 路由器(基于路由的 VPN)和通用 IKEv2 路由器(基于路由的 VPN) Non VMware SD-WAN Site 配置。

Cisco ASA

Cisco ASA 是另一种常见的第三方配置。下面列出了如何在 SD-WAN Orchestrator 中使用 Cisco ASA 进行配置的说明。

要通过 Cisco ASA 进行配置,请执行以下操作:

  1. 转到配置 (Configure) > 网络服务 (Network Services)
  2. 非 VeloCloud 站点 (Non-VeloCloud Sites) 区域中,单击新建 (New) 按钮。

    将显示新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框。

    complementary-config-third-party-cisco-asa-new-dialog

  3. 新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框中:
    1. 名称 (Name) 文本框中,输入 Non VMware SD-WAN Site 的名称。
    2. 类型 (Type) 下拉菜单中,选择 Cisco ASA
    3. 输入主 VPN 网关的 IP 地址,然后单击下一步 (Next)

    将创建 Non VMware SD-WAN Site,并为 Non VMware SD-WAN Site 显示一个对话框。

    complementary-config-third-party-cisco-asa-site-dialog

  4. Non VMware SD-WAN Site 的对话框中:
    1. 要为 Non VMware SD-WAN Site 的主 VPN 网关配置隧道设置,请单击位于对话框底部的高级 (Advanced) 按钮。
    2. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
      字段 描述
      PSK 预共享密钥 (Pre-Shared Key, PSK),这是在隧道中进行身份验证时使用的安全密钥。默认情况下,Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,您可以在文本框中输入该 PSK 或密码。
      加密 (Encryption) 选择 AES 128AES 256 以作为数据加密算法。默认值为 AES 128。
      DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。默认值为 2。
      PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。默认值为 2。
      注: Cisco ASA 网络服务类型不支持辅助 VPN 网关。
      注:

      对于 Cisco ASA Non VMware SD-WAN Site,默认情况下,使用的本地身份验证 ID 值为 SD-WAN Gateway 接口本地 IP。

    3. 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。

      对主 VPN 网关的加密、DH 组或 PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击查看 IKE/IPSec 模板 (View IKE/IPSec Template) 以查看更新的隧道配置。

    4. 单击更新位置 (Update location) 链接以设置配置的 Non VMware SD-WAN Site 的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
    5. 站点子网 (Site Subnets) 下面,您可以单击 + 按钮以添加 Non VMware SD-WAN Site 的子网。
    6. 使用自定义源子网 (Custom Source Subnets) 覆盖路由到该 VPN 设备的源子网。通常,源子网派生自路由到该设备的 Edge LAN 子网。
    7. 在准备好启动从 SD-WAN Gateway 到 Cisco ASA VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
    8. 单击保存更改 (Save Changes)

Cisco ISR

Cisco ISR 是更常见的第三方配置之一。下面列出了如何在 SD-WAN Orchestrator 中使用 Cisco ISR 进行配置的说明。

要通过 Cisco ISR 进行配置,请执行以下操作:

  1. 转到配置 (Configure) > 网络服务 (Network Services)
  2. 非 VeloCloud 站点 (Non-VeloCloud Sites) 区域中,单击新建 (New) 按钮。

    将显示“新建非 VeloCloud 站点”(New Non-VeloCloud Site) 对话框。

    complementary-config-third-party-datacenter-new-dialog

  3. 新建非 VeloCloud 站点 (New Non-VeloCloud Site) 对话框中:
    1. 名称 (Name) 文本框中,输入 Non VMware SD-WAN Site 的名称。
    2. 类型 (Type) 下拉菜单中,选择 Cisco ISR
    3. 输入主 VPN 网关的 IP 地址,然后单击下一步 (Next)

    将创建 Non VMware SD-WAN Site,并为 Non VMware SD-WAN Site 显示一个对话框。

    complementary-config-third-party-site-dialog

  4. Non VMware SD-WAN Site 的对话框中:
    1. 要为 Non VMware SD-WAN Site 的主 VPN 网关配置隧道设置,请单击位于对话框底部的高级 (Advanced) 按钮。
    2. 参阅上表以配置隧道设置,例如,PSK、加密、DH 组和 PFS。
    3. 如果要为该站点创建辅助 VPN 网关,请单击辅助 VPN 网关 (Secondary VPN Gateway) 旁边的添加 (Add) 按钮。在弹出窗口中,输入辅助 VPN 网关的 IP 地址,然后单击保存更改 (Save Changes)

      将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。

      注:

      对于 Cisco ISR Non VMware SD-WAN Site,默认情况下,使用的本地身份验证 ID 值为 SD-WAN Gateway 接口本地 IP。

    4. 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。
    5. 站点子网 (Site Subnets) 下面,您可以单击 + 按钮以添加 Non VMware SD-WAN Site 的子网。
    6. 在准备好启动从 SD-WAN Gateway 到 Cisco ISR VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
    7. 单击保存更改 (Save Changes)

Microsoft Azure 虚拟 Hub

Microsoft Azure 虚拟 Hub 是更常见的第三方配置之一。有关如何在 SD-WAN Orchestrator 中配置 Microsoft Azure 虚拟 Hub 类型的 Non VMware SD-WAN Site 的说明,请参阅配置 Microsoft Azure Non VMware SD-WAN Site