云虚拟专用网络 (VPN) 启用 VPNC 兼容 IPSec VPN 连接以连接 VMware 和 非 SD-WAN 目标。它还指示站点的运行状况(启动或关闭状态),并提供站点的实时状态。
云 VPN 支持以下流量:
- 分支到通过网关的非 SD-WAN 目标
- 分支到 SD-WAN Hub
- 分支到分支 VPN
- 分支到通过 Edge 的非 SD-WAN 目标
下图表示云 VPN 的所有三个分支。图中的编号表示每个分支,并对应于下表中的描述。
非 SD-WAN 目标 | |
分支到 SD-WAN Hub | |
分支到分支 VPN | |
分支到 非 SD-WAN 目标 | |
分支到 非 SD-WAN 目标 |
分支到通过网关的非 SD-WAN 目标
分支到通过网关的非 SD-WAN 目标支持以下配置:
- 使用现有的防火墙 VPN 路由器连接到客户数据中心
- Iaas
- 连接到 CWS (Zscaler)
使用现有的防火墙 VPN 路由器连接到客户数据中心
VMware Gateway 和数据中心防火墙(任何 VPN 路由器)之间的 VPN 连接在分支(安装了 SD-WAN Edge)和 非 SD-WAN 目标 之间提供连接,从而简化了插入过程,也就是说,无需安装客户数据中心。
下图显示了一种 VPN 配置:
主隧道 | |
冗余隧道 | |
辅助 VPN 网关 (Secondary VPN Gateway) |
- Check Point
- Cisco ASA
- Cisco ISR
- 通用 IKEv2 路由器(基于路由的 VPN)
- Microsoft Azure 虚拟 Hub
- Palo Alto
- SonicWALL
- Zscaler
- 通用 IKEv1 路由器(基于路由的 VPN)
- 通用防火墙(基于策略的 VPN)
注: VMware 从网关中支持通用基于路由的和基于策略的 非 SD-WAN 目标。
有关如何配置分支到通过 SD-WAN 网关 的 非 SD-WAN 目标 的信息,请参阅配置通过网关的非 SD-WAN 目标。
Iaas
在使用 Amazon Web Services (AWS) 进行配置时,请使用“非 SD-WAN 目标”(Non-VMware SD-WAN Site) 对话框中的“通用防火墙 (基于策略的 VPN)”(Generic Firewall (Policy Based VPN)) 选项。
通过第三方进行配置可以为您带来以下好处:
- 消除网格
- 成本
- 性能
与传统的 WAN 到 VPC 相比,VMware 云 VPN 易于设置(SD-WAN 网关 的全局网络消除了到 VPC 的网格隧道要求),具有用于控制分支 VPC 访问的集中式策略,并能够确保性能和连接安全。
有关如何使用 Amazon Web Services (AWS) 进行配置的信息,请参阅配置 Amazon Web Services一节。
连接到 CWS (Zscaler)
Zscaler Web 安全功能提供了安全性、可见性和控制。Zscaler 是在云中提供的,它使用一些功能以提供 Web 安全性,包括威胁防护、实时分析和取证。
使用 Zscaler 进行配置具有以下优势:
- 性能:直接到 Zscaler(通过网关的 Zscaler)
- 管理代理是非常复杂的:启用简单的点击策略感知 Zscaler
分支到 SD-WAN Hub
SD-WAN Hub 是在数据中心部署的 Edge,以使分支能够访问数据中心资源。您必须在 SD-WAN Orchestrator 中设置 SD-WAN Hub。SD-WAN Orchestrator 向所有 SD-WAN Edge 通知 Hub,并且 SD-WAN Edge 建立到 Hub 的安全覆盖网络多路径隧道。
下图说明了如何支持活动-备用设备和活动-活动设备。
分支到分支 VPN
分支到分支 VPN 支持一些配置,以便在分支之间建立 VPN 连接以提高性能和可扩展性。
分支到分支 VPN 支持两种配置:
- 云网关
- VPN 的 SD-WAN Hub
下图显示了云网关和 SD-WAN Hub 的分支到分支流量。
您也可以为云网关和 Hub 启用动态分支到分支 VPN。
您可以从 SD-WAN Orchestrator 云 VPN (Cloud VPN) 区域的配置 (Configure) > 配置文件 (Profiles) > 设备 (Device) 选项卡中访问一键式云 VPN 功能。
分支到通过 Edge 的非 SD-WAN 目标
分支到通过 Edge 的非 SD-WAN 目标支持以下基于路由的 VPN 配置:
- 通用 IKEv2 路由器(基于路由的 VPN)
- 通用 IKEv1 路由器(基于路由的 VPN)
有关更多信息,请参阅配置通过 Edge 的非 SD-WAN 目标。