本节介绍了 SASE Orchestrator 的主要概念和核心配置。
配置
VMware 服务具有四种包含层次关系的核心配置。请在 SASE Orchestrator 中创建这些配置。
下表简要说明了这些配置:
配置 | 描述 |
---|---|
网络 (Network) | 定义基本网络配置,例如,IP 寻址和 VLAN。可以将网络指定为企业网络或客户机网络,并且每个网络可能具有多个定义。 |
网络服务 (Network Services) | 定义 VMware 服务使用的一些常用服务,例如,回传站点、云 VPN Hub、非 SD-WAN 目标、云代理服务、DNS 服务和身份验证服务。 |
配置文件 (Profile) | 定义可应用于多个 Edge 的模板配置。可以选择网络和网络服务以设置配置文件。配置文件可以应用于一个或多个 Edge 型号,并定义 LAN、Internet、无线 LAN 和 WAN Edge 接口的设置。配置文件还可以提供 Wi-Fi 无线、SNMP、Netflow、业务策略和防火墙配置的设置。 |
Edge | 这些配置提供一组可下载到 Edge 设备的完整设置。Edge 配置是选定配置文件、选定网络和网络服务中的设置组合。Edge 配置还可能会覆盖设置,或者将有序的策略添加到配置文件、网络和网络服务中定义的设置。 |
下图显示了多个 Edge、配置文件、网络和网络服务的关系和配置设置的详细概览。
可以将单个配置文件分配给多个 Edge。可以在多个配置文件中使用单个网络配置。网络服务配置在所有配置文件中使用。
网络 (Networks)
- 企业网络或受信任的网络,可以为这些网络配置重叠地址或非重叠地址。
- 客户机网络或不受信任的网络,它们始终使用重叠地址。
您可以定义多个企业网络和客户机网络,并为这两种网络分配 VLAN。
在使用重叠地址时,使用网络的所有 Edge 具有相同的地址空间。重叠地址与非 VPN 配置相关联。
在使用非重叠地址时,地址空间拆分为具有相同数量的地址的块。非重叠地址与 VPN 配置相关联。地址块将分配给使用网络的 Edge,以便每个 Edge 具有一组唯一的地址。Edge 到 Edge 和 Edge 到 非 SD-WAN 目标 VPN 通信需要使用非重叠地址。VMware 配置创建访问企业数据中心网关所需的信息以进行 VPN 访问。企业数据中心网关管理员使用在 非 SD-WAN 目标 VPN 配置期间生成的 IPSec 配置信息以配置到 非 SD-WAN 目标 的 VPN 隧道。
下图显示了将网络配置中的唯一 IP 地址块分配给 SD-WAN Edge。
网络服务 (Network Services)
您可以定义企业网络服务,并在所有配置文件中使用这些服务。这包括身份验证、云代理、非 SD-WAN 目标 和 DNS 的服务。只有在分配给配置文件时,才会使用定义的网络服务。
配置文件 (Profiles)
配置文件是一个命名的配置,它定义一组 VLAN、云 VPN 设置、有线和无线接口设置以及网络服务(如 DNS 设置、身份验证设置、云代理设置以及到 非 SD-WAN 目标 的 VPN 连接)。您可以使用配置文件为一个或多个 SD-WAN Edge 定义标准配置。
对于为 VPN 配置的 Edge,配置文件提供云 VPN 设置。云 VPN 设置可以激活或停用 Edge 到 Edge 以及 Edge 到 非 SD-WAN 目标 VPN 连接。
配置文件还可以为业务策略和防火墙设置定义规则和配置。
Edge
您可以将配置文件分配给 Edge,Edge 将从配置文件中获取大多数配置。
您可以使用配置文件、网络或网络服务中定义的大多数设置,而无需在 Edge 配置中进行修改。不过,您可以覆盖 Edge 配置元素设置,以便为特定场景定制 Edge。 这包括接口、Wi-Fi 无线设置、DNS、身份验证、业务策略和防火墙的设置。
此外,您还可以配置 Edge,以便为配置文件或网络配置中不包含的设置提供补充。这包括子网寻址、静态路由设置以及端口转发和 1:1 NAT 入站防火墙规则。
Orchestrator 配置工作流
VMware 支持多种配置场景。下表列出了一些常见的场景:
场景 | 描述 |
---|---|
SaaS | 用于相互之间以及与 非 SD-WAN 目标 或 VMware SD-WAN Site 之间不需要 VPN 连接的 Edge。该工作流假定企业网络使用重叠地址进行寻址。 |
经由 VPN 的 非 SD-WAN 目标 | 用于需要到 非 SD-WAN 目标(如 Amazon Web Services、Zscaler、Cisco ISR 或 ASR 1000 系列)的 VPN 连接的 Edge。该工作流假定企业网络使用非重叠地址进行寻址,并且在配置文件中定义了 非 SD-WAN 目标。 |
VMware SD-WAN Site VPN | 用于需要到 VMware SD-WAN Site(如 Edge Hub 或云 VPN Hub)的 VPN 连接的 Edge。该工作流假定企业网络使用非重叠地址进行寻址,并且在配置文件中定义了 VMware SD-WAN Site。 |
对于每个场景,请按以下顺序在 SASE Orchestrator 中执行配置:
步骤 1:网络
步骤 2:网络服务
步骤 3:配置文件
步骤 4:Edge
下表简要说明了每个工作流的快速启动配置。您可以使用预配置的网络、网络服务和配置文件配置以进行快速启动配置。对于 VPN 配置,请修改现有的 VPN 配置文件并配置 VMware SD-WAN Site 或 非 SD-WAN 目标。最后一步是创建并激活新的 Edge。
快速启动配置步骤 |
SaaS | 非 SD-WAN 目标 VPN |
VMware SD-WAN Site VPN |
---|---|---|---|
步骤 1:网络 | 选择快速启动 Internet 网络 | 选择快速启动 VPN 网络 | 选择快速启动 VPN 网络 |
步骤 2:网络服务 | 使用预配置的网络服务 | 使用预配置的网络服务 | 使用预配置的网络服务 |
步骤 3:配置文件 | 选择快速启动 Internet 配置文件 | 选择快速启动 VPN 配置文件 激活云 VPN 并配置非 SD-WAN 目标 |
选择快速启动 VPN 配置文件 激活云 VPN 并配置VMware SD-WAN Site |
步骤 4:Edge | 添加新的 Edge 并激活 Edge | 添加新的 Edge 并激活 Edge |
添加新的 Edge 并激活 Edge |
有关更多信息,请参阅激活 SD-WAN Edge。