从 5.3.0 版本开始,VMware SD-WAN 支持安全服务边缘 (Security Service Edge, SSE) 功能。此功能允许 VMware SD-WAN 通过 Orchestrator 使用无缝自动化轻松与第三方 SSE 供应商集成。您可以配置与同一供应商的多个 SSE 集成。

注: 由于隧道建立是一项异步操作,因此,完成每个 WAN 链路隧道的安全服务边缘 (SSE) 自动配置可能需要 5 到 30 分钟时间。此时间延迟是由于 PAN Prisma 所致。
必备条件:
  • 操作员用户必须导航到 Orchestrator > 系统属性 (System Properties),将 SSE 系统属性 session.options.enableSseService 的值设置为 True。有关系统属性的更多信息,请参阅《VMware SASE Orchestrator 部署和监控指南》
  • 企业用户必须在 Palo Alto Networks Strata Cloud Manager 中创建 IPsecIKE 配置文件。然后,可以将这些配置文件用于 SSE 集成。请参阅以下模板:

    AES 128 CBC

    DH 组 14(IKE 加密配置文件)

    PFS 已停用(IPsec 加密配置文件 - DH 组)

    SHA 256

    IKE SA 生命周期 1440 分钟

    IPsec SA 生命周期 480 分钟

企业用户现在可以通过 安全服务边缘 (SSE) 功能配置 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge)云订阅 (Cloud Subscription)
注: 对于 5.3.0,仅支持 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 网络服务。有关其他网络服务的更多信息,请参阅 配置网络服务
要访问安全服务边缘 (SSE),请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > 安全服务边缘 (SSE) (Security Service Edge (SSE))。默认情况下,将显示 SSE 集成 (SSE Integrations) 选项卡。
  2. 单击新建 SSE 集成 (New SSE Integration) 将显示以下屏幕:
  3. 选择云订阅 (Choose Cloud Subscription) 区域下,配置以下选项:
    选项 描述
    订阅类型 (Subscription Type) 选择要为其设置 SSE 集成的订阅类型。目前,仅支持 Prisma Access
    云订阅 (Cloud Subscription) 从下拉菜单中选择云订阅。

    下拉菜单中仅显示那些在订阅类型 (Subscription Type) 中选择的 SSE 供应商下配置的云订阅。

    这些云订阅将根据配置 (Configure) > 安全服务边缘 (SSE) (Security Service Edge (SSE)) > SSE 订阅 (SSE Subscriptions) 下的配置来填充。
  4. 单击下一步 (Next Step)
    注: 仅当选择适当的值后,才会激活 下一步 (Next Step) 按钮。
  5. 创建网络服务 (Create Network Service) 下,配置以下选项:
    选项 描述
    服务名称 (Service Name) 输入唯一的服务名称。
    每个隧道的最小带宽 (Mbps) 输入所需的带宽。默认值为 2
    免除这些 WAN 链路类型 默认值为无 (None)。当前不支持其他值。
    隧道协议 (Tunneling Protocol) 默认情况下,将选择 IPsec 隧道协议。您必须从相应的下拉菜单中选择 IPsec 加密配置文件 (IPsec Crypto Profile)IKE 加密配置文件 (IKE Crypto Profile)。这些下拉菜单将根据在 Palo Alto Networks Strata Cloud Manager 中创建的配置文件来填充。
  6. 单击创建并继续 (Create and Continue) 以激活下一部分。
  7. 选择配置文件/Edge (Select Profile/Edges) 下,配置以下选项:
    选项 描述
    选择配置文件 (Select Profile) 从下拉菜单中选择一个 SD-WAN Edge 配置文件。
    选择分段 从下拉菜单中选择一个分段。
    选择 Edge 将自动填充与选定配置文件关联的 Edge 列表。选择要应用 SSE 集成的一个或多个 Edge。
  8. 单击验证隧道配置 (Validate Tunnel Configuration)。此时将显示数据中心位置。
  9. 验证隧道配置后,单击保存并完成 (Save and Finish)。新创建的 SSE 集成将显示在安全服务边缘 (SSE) (Security Service Edge (SSE)) 登录页上的列表中。
  10. 要监控部署状态,请单击隧道部署状态 (Tunnel Deployment Status) 列中的查看 (View) 链接。将显示以下屏幕:
    注: 您还可以在 监控 (Monitor) > 事件 (Events)监控 (Monitor) > 网络服务 (Network Services) > 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 屏幕上监控 SSE 部署状态。有关更多信息,请参阅 监控事件监控网络服务
  11. 如果要编辑现有的 SSE 集成,请从列表中选择 SSE 集成,然后单击编辑 (Edit)。您也可以单击 SSE 集成名称链接来对其进行编辑。
  12. 要删除 SSE 集成,请从列表中选择 SSE 集成,然后单击删除 (Delete)
  13. 要查看或创建新的 SSE 订阅,请单击安全服务边缘 (SSE) (Security Service Edge (SSE)) 登录页上的 SSE 订阅 (SSE Subscription) 选项卡。将显示以下屏幕:
  14. 在每个磁贴中,单击查看 (View) 以查看现有订阅详细信息。单击垂直省略号,然后单击删除 (Delete) 以删除订阅。
  15. 要创建新订阅,请单击新建 SSE 订阅 (New SSE Subscription)。将显示以下屏幕:
  16. 您可以配置以下选项:
    选项 描述
    名称 (Name) 输入订阅名称。
    订阅类型 (Subscription Type) 从下拉菜单中选择订阅类型。
    Tsg Id 输入 ID。此值必须为正整数。
    用户名 (User Name) 输入用户名。
    密码 (Password) 输入密码。
    域 (Domain) 输入域名。
    注: Tsg Id用户名 (User Name)密码 (Password) 字段特定于 Prisma,它们必须与 Palo Alto Networks Strata Cloud Manager 中配置的值相匹配。
  17. 单击验证订阅 (Validate Subscription),然后单击保存 (Save) 以保存配置的订阅。

后续操作:

将安全服务边缘订阅与 Edge 相关联。有关更多信息,请参阅为 Edge 配置云 VPN 和隧道参数