云虚拟专用网络 (VPN) 启用 VPNC 兼容 IPSec VPN 连接以连接 VMwareNon VMware SD-WAN Sites。它还指示站点的运行状况(启动或关闭状态),并提供站点的实时状态。

云 VPN 支持以下流量:

  • 分支到通过网关的非 SD-WAN 目标
  • 分支到 SD-WAN Hub
  • 分支到分支 VPN
  • 分支到通过 Edge 的非 SD-WAN 目标

下图表示云 VPN 的所有三个分支。图中的编号表示每个分支,并对应于下表中的描述。

red-1 Non VMware SD-WAN Site
red-2 分支到 SD-WAN Hub
red-3 分支到分支 VPN
red-4 分支到 Non VMware SD-WAN Site
red-5 分支到 Non VMware SD-WAN Site

分支到通过网关的非 SD-WAN 目标

分支到通过网关的非 SD-WAN 目标支持以下配置:

  • 使用现有的防火墙 VPN 路由器连接到客户数据中心
  • Iaas
  • 连接到 CWS (Zscaler)

使用现有的防火墙 VPN 路由器连接到客户数据中心

VMware Gateway 和数据中心防火墙(任何 VPN 路由器)之间的 VPN 连接在分支(安装了 SD-WAN Edges)和 Non VMware SD-WAN Sites 之间提供连接,从而简化了插入过程,也就是说,无需安装客户数据中心。

下图显示了一种 VPN 配置:

red-1 主隧道
red-2 冗余隧道
red-3 辅助 VPN 网关
VMware 通过 SD-WAN Gateway 支持以下 Non VMware SD-WAN Site 配置:
  • Check Point
  • Cisco ASA
  • Cisco ISR
  • 通用 IKEv2 路由器(基于路由的 VPN)
  • Microsoft Azure 虚拟 Hub
  • Palo Alto
  • SonicWALL
  • Zscaler
  • 通用 IKEv1 路由器(基于路由的 VPN)
  • 通用防火墙(基于策略的 VPN)
    注: VMware 从网关中支持通用基于路由的和基于策略的 Non VMware SD-WAN Site

有关如何配置分支到通过 SD-WAN GatewayNon VMware SD-WAN Site 的信息,请参阅配置通过网关的非 SD-WAN 目标

Iaas

在使用 Amazon Web Services (AWS) 进行配置时,请使用“Non VMware SD-WAN Site”(Non-VMware SD-WAN Site) 对话框中的“通用防火墙 (基于策略的 VPN)”(Generic Firewall (Policy Based VPN)) 选项。

通过第三方进行配置可以为您带来以下好处:

  • 消除网格
  • 成本
  • 性能

与传统的 WAN 到 VPC 相比,VMware 云 VPN 易于设置(SD-WAN Gateways 的全局网络消除了到 VPC 的网格隧道要求),具有用于控制分支 VPC 访问的集中式策略,并能够确保性能和连接安全。

有关如何使用 Amazon Web Services (AWS) 进行配置的信息,请参阅配置 Amazon Web Services一节。

连接到 CWS (Zscaler)

Zscaler Web 安全功能提供了安全性、可见性和控制。Zscaler 是在云中提供的,它使用一些功能以提供 Web 安全性,包括威胁防护、实时分析和取证。

使用 Zscaler 进行配置具有以下优势:

  • 性能:直接到 Zscaler(通过网关的 Zscaler)
  • 管理代理是非常复杂的:启用简单的点击策略感知 Zscaler

分支到 SD-WAN Hub

SD-WAN Hub 是在数据中心部署的 Edge,以使分支能够访问数据中心资源。您必须在 SD-WAN Orchestrator 中设置 SD-WAN HubSD-WAN Orchestrator 向所有 SD-WAN Edges 通知 Hub,并且 SD-WAN Edges 建立到 Hub 的安全覆盖网络多路径隧道。

下图说明了如何支持活动-备用设备和活动-活动设备。

分支到分支 VPN

分支到分支 VPN 支持一些配置,以便在分支之间建立 VPN 连接以提高性能和可扩展性。

分支到分支 VPN 支持两种配置:

  • 云网关
  • VPN 的 SD-WAN Hubs

下图显示了云网关和 SD-WAN Hub 的分支到分支流量。

您也可以为云网关和 Hub 启用动态分支到分支 VPN。

您可以从 SD-WAN Orchestrator 云 VPN (Cloud VPN) 区域的配置 (Configure) > 配置文件 (Profiles) > 设备 (Device) 选项卡中访问一键式云 VPN 功能。

注: 有关配置云 VPN 的分步说明,请参阅 为配置文件配置云 VPN

分支到通过 Edge 的非 SD-WAN 目标

分支到通过 Edge 的非 SD-WAN 目标支持以下基于路由的 VPN 配置:

  • 通用 IKEv2 路由器(基于路由的 VPN)
  • 通用 IKEv1 路由器(基于路由的 VPN)
注: VMware 仅通过 Edge 支持基于路由的 Non VMware SD-WAN Site 配置。

有关更多信息,请参阅配置通过 Edge 的非 SD-WAN 目标