从 5.3.0 版本开始,VMware SD-WAN 支持安全服务边缘 (Security Service Edge, SSE) 功能。此功能允许 VMware SD-WAN 通过 Orchestrator 使用无缝自动化轻松与第三方 SSE 供应商集成。您可以配置与同一供应商的多个 SSE 集成。
企业用户现在可以通过
安全服务边缘 (SSE) 功能配置
通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 和
云订阅 (Cloud Subscription)。有关网络服务的手动配置,请参阅
配置网络服务。
注: 目前仅支持
通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 网络服务。
安全服务边缘 (SSE) 功能当前支持 PAN Prisma 和 Symantec 订阅。对于企业用户,默认情况下将激活 SSE 功能。
必备条件:
- 对于 PAN Prisma SSE 集成,企业用户必须先在 Palo Alto Networks Strata Cloud Manager 门户中创建 IKE 和 IPsec 配置文件。然后,可以将这些配置文件用于 SSE 集成。有关如何在 Palo Alto Networks Strata Cloud Manager 门户中配置 IKE 和 IPsec 配置文件的信息,请参阅 Palo Alto Networks Strata Cloud Manager 配置。
- 对于 Symantec 集成,企业用户必须先为 Symantec Cloud 门户中配置的 API 凭据创建用户名和密码。
注: 由于隧道建立是一项异步操作,因此,完成每个 WAN 链路隧道的安全服务边缘 (SSE) 自动配置可能需要 5 到 30 分钟时间。此时间延迟是由于
PAN Prisma 所致。
在创建 SSE 集成 (SSE Integration) 之前,必须先创建 SSE 订阅 (SSE Subscription)。
SSE 订阅
要查看或创建 SSE 订阅,请执行以下步骤:
- 在企业门户的 SD-WAN 服务中,单击。
- 单击安全服务边缘 (SSE) (Security Service Edge (SSE)) 登录页面上的 SSE 订阅 (SSE Subscription) 选项卡。将显示以下屏幕:
- 在每个磁贴中,单击查看 (View) 以查看现有订阅详细信息。单击垂直省略号,然后单击删除 (Delete) 以删除订阅。
- 要创建新订阅,请单击 + 新建 SSE 订阅 (+ New SSE Subscription)。
- 此时将显示配置 SSE 订阅 (Configure SSE Subscription) 窗口。您必须输入订阅的名称 (Name),然后从下拉菜单中选择订阅类型 (Subscription Type)。屏幕上显示的字段因所选的订阅类型 (Subscription Type) 而异。
下图和下表适用于 Prisma Access 订阅类型。
选项 描述 Tsg Id 输入 ID。此值必须为正整数。 用户名 (User Name) 输入用户名。 密码 (Password) 输入密码。 注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。域 (Domain) 输入您的公司域。示例:vmware.com 注: 创建 IPSec FQDN 必需此字段。注: Tsg Id、 用户名 (User Name) 和 密码 (Password) 字段必须与 Palo Alto Networks Strata Cloud Manager 门户中配置的值相匹配。下图和下表适用于 Symantec 订阅类型。
选项 描述 用户名 (User Name) 输入用户名。 密码 (Password) 输入密码。 注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。云类型 目前,此字段显示生产 (Prod),这是默认值。 - 单击验证订阅 (Validate Subscription) 以确保输入的凭据正确无误,然后单击保存 (Save) 以保存配置的订阅。
SSE 集成
要查看或创建 SSE 集成,请执行以下步骤:
- 在企业门户的 SD-WAN 服务中,单击。默认情况下,将显示 SSE 集成 (SSE Integrations) 选项卡。
- 要创建新的 SSE 集成,请单击 + 新建 SSE 集成 (+ New SSE Integration)。将显示以下屏幕:
- 在选择云订阅 (Choose Cloud Subscription) 部分下,配置以下选项:
选项 描述 订阅类型 (Subscription Type) 选择要为其设置 SSE 集成的订阅类型。可用选项包括: - Prisma Access
- Symantec(技术预览版)
云订阅 (Cloud Subscription) 从下拉菜单中选择云订阅。 下拉菜单中仅显示那些在订阅类型 (Subscription Type) 中选择的 SSE 供应商下配置的云订阅。
这些云订阅将根据 下的配置来填充。
- 单击下一步 (Next Step) 以激活下一部分。
- 创建网络服务 (Create Network Service) 部分下显示的字段因所选的订阅类型 (Subscription Type) 而异。
下图和下表适用于 Prisma Access 订阅类型:
选项 描述 服务名称 (Service Name) 输入唯一的服务名称。 每个隧道的最小带宽 (Mbps) 输入所需的带宽。默认值为 2。 隧道协议 (Tunneling Protocol) 默认情况下,将选择 IPsec 隧道协议。您必须从相应的下拉菜单中选择 IPsec 加密配置文件 (IPsec Crypto Profile) 和 IKE 加密配置文件 (IKE Crypto Profile)。这些下拉菜单将根据在 Palo Alto Networks Strata Cloud Manager 门户中创建的配置文件来填充。 下图和下表适用于 Symantec 订阅类型:
选项 描述 服务名称 (Service Name) 输入唯一的服务名称。 隧道协议 (Tunneling Protocol) 此字段设置为 IPsec,这是唯一支持的协议。 - 单击创建并继续 (Create and Continue) 以激活下一部分。
- 在选择配置文件/Edge (Select Profile/Edges) 部分下,配置以下选项:
选项 描述 选择配置文件 (Select Profile) 从下拉菜单中选择一个 SD-WAN Edge 配置文件。 选择分段 从下拉菜单中选择一个分段。默认情况下,将选择全局分段 (Global Segment)。 注: 您只能为 Prisma 订阅选择一个分段,而可以为 Symantec 订阅选择多个分段。 - 在选择“配置文件”(Profile) 和分段 (Segment) 后,将自动填充与选定配置文件关联的 Edge 列表。选择要应用 SSE 集成的一个或多个 Edge。
- 如果 Edge 具有两个以上的 WAN 链路,则会在表中自动填充前两个 WAN 链路。您可以选择要用于自动化的 WAN 链路。
- 单击验证隧道配置 (Validate Tunnel Configuration)。如果任何数据中心订阅超额,则会显示一条警告。
注: 验证隧道配置 (Validate Tunnel Configuration) 按钮仅适用于 Prisma Access 订阅类型。在 Prisma 部署中,您必须购买许可证才能在数据中心添加带宽容量。此许可证会限制最大吞吐量,因此将显示一条警告。
- 验证隧道配置后,单击保存并完成 (Save and Finish)。新创建的 SSE 集成将显示在安全服务边缘 (SSE) (Security Service Edge (SSE)) 登录页上的列表中。
- 如果要编辑现有的 SSE 集成,请从列表中选择 SSE 集成,然后单击编辑 (Edit)。您也可以单击 SSE 集成名称链接来对其进行编辑。
- 要删除 SSE 集成,请从列表中选择 SSE 集成,然后单击删除 (Delete)。
注: 您无法删除 Edge 当前使用的 SSE 集成。
- 要监控自动化状态,请单击隧道部署状态 (Tunnel Deployment Status) 列中的查看 (View) 链接。将显示以下屏幕:
createOrUpdateEdgeConfiguration和deleteEdgeConfiguration操作指示将通过 SSE 自动化来更新 Orchestrator Edge 设备设置。其他操作用于第三方自动化。 - 要验证隧道是否已启动,请转到,然后将鼠标悬停在 Edge 隧道(Edge Tunnels) 列下。您可以查看如下所示的详细信息:
后续操作:
将安全服务边缘订阅与 Edge 相关联。有关更多信息,请参阅为 Edge 配置云 VPN 和隧道参数。
要将网络流量定向到特定的企业云,请导航到。单击 + 添加 (+ Add) 以添加新规则。有关更多信息,请参阅创建业务策略规则。
