Počínaje verzí 5.3.0 podporuje VMware SD-WAN funkci Služba zabezpečení Edge (SSE). Tato funkce umožňuje snadnou integraci VMware SD-WAN s dodavatelem SSE třetí strany pomocí bezproblémové automatizace pomocí nástroje Orchestrator. Můžete nakonfigurovat více integrací SSE u stejného dodavatele.

Podnikoví uživatelé nyní mohou konfigurovat Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge)Odběr cloudu (Cloud Subscription) pomocí funkce Služba zabezpečení Edge (SSE). Ruční konfiguraci síťových služeb naleznete v tématu Konfigurace síťových služeb.
Poznámka: Momentálně je podporována pouze síťová služba Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge).

Funkce Služba zabezpečení Edge (SSE) momentálně podporuje odběry PAN PrismaSymantec. Pro podnikového uživatele je funkce SSE ve výchozím nastavení aktivována.

Požadavky:
  • V rámci integrace SSE PAN Prisma musí podnikový uživatel nejdříve vytvořit profil IKEIPsec na portálu Palo Alto Networks Strata Cloud Manager. Tyto profily mohou být poté použity pro integraci SSE. Pro informace o konfiguraci profilů IKE (IKE)IPsec (IPsec) na portálu Správce cloudu Strata služby Palo Alto Networks (Palo Alto Networks Strata Cloud Manager) viz Konfigurace správce cloudu Strata služby Palo Alto Networks.
  • Při integraci Symantec musí podnikový uživatel nejprve vytvořit uživatelské jméno a heslo pro přihlašovací údaje rozhraní API nakonfigurované v portálu Symantec Cloud.
Poznámka: Jelikož vytváření tunelu je asynchronní operace, automatická konfigurace služby zabezpečení Edge (SSE) může trvat 5 až 30 minut na tunelové propojení linky WAN. Tato prodleva je způsobena stavem PAN Prisma.

Před vytvořením Integrace SSE (SSE Integration) musíte nejprve vytvořit Odběr SSE (SSE Subscription).

Odběry SSE

Chcete-li zobrazit nebo vytvořit odběr SSE, postupujte podle níže uvedených kroků:
  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Služba zabezpečení Edge (Security Service Edge (SSE)).
  2. Klikněte na kartu Odběr SSE (SSE Subscription)s na úvodní stránce služby Služba zabezpečení Edge (SSE). Zobrazí se následující obrazovka:
  3. V každé dlaždici klikněte na možnost Zobrazit (View) pro zobrazení stávajících podrobností o odběru. Klepněte na svislé tři tečky a potom kliknutím na možnost Odstranit (Delete) odstraňte odběr.
  4. Chcete-li vytvořit nový odběr, klikněte na možnost + Nový odběr SSE (+ New SSE Subscription).
  5. Zobrazí se okno Konfigurovat odběr SSE (Configure SSE Subscription). Musíte zadat Název (Name) pro odběr a vybrat Typ odběru (Subscription Type) z rozevírací nabídky. Pole zobrazená na obrazovce se liší v závislosti na vybraném typu odběru Typu odběru (Subscription Type).
    Níže uvedený obrázek a tabulka jsou určeny pro typ odběru Prisma Access.
    Možnost Popis
    Tsg Id Zadejte ID. Tato hodnota musí být kladné celé číslo.
    Uživatelské jméno (User Name) Zadejte uživatelské jméno.
    Heslo (Password) Zadejte heslo.
    Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.
    Doména (Domain) Zadejte doménu podniku. Příklad: vmware.com
    Poznámka: Toto pole je povinné pro vytvoření názvu FQDN protokolu IPsec.
    Poznámka: Pole ID TSG (Tsg Id), Název uživatele (User Name) a  Heslo (Password) musí odpovídat hodnotám nakonfigurovaným v portálu Palo Alto Networks Strata Cloud Manager.
    Níže uvedený obrázek a tabulka jsou určeny pro typ odběru Symantec.
    Možnost Popis
    Uživatelské jméno (User Name) Zadejte uživatelské jméno.
    Heslo (Password) Zadejte heslo.
    Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.
    Typ cloudu V současnosti se v tomto poli zobrazuje hodnota Prod, což je výchozí hodnota.
  6. Klikněte na možnost Ověřit odběr (Validate Subscription) a ujistěte se, že jsou zadané přihlašovací údaje správné, a kliknutím na možnost Uložit (Save) uložte nakonfigurovaný odběr.

Integrace SSE

Chcete-li zobrazit nebo vytvořit integraci SSE, postupujte podle níže uvedených kroků:
  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Služba zabezpečení Edge (Security Service Edge (SSE)). Ve výchozím nastavení se zobrazuje karta Integrace SSE (SSE Integrations).
  2. Chcete-li vytvořit novou integraci SSE, klikněte na možnost + Přidat novou integraci SSE (+ New SSE Integration). Zobrazí se následující obrazovka:
  3. V části Zvolte odběr cloudu (Choose Cloud Subscription) nakonfigurujte následující možnosti:
    Možnost Popis
    Typ odběru (Subscription Type) Vyberte typ odběru, pro který chcete nastavit integraci SSE. Dostupné možnosti jsou:
    • Prisma Access
    • Symantec (technický náhled)
    Odběr cloudu (Cloud Subscription) Vyberte odběr cloudu z rozbalovací nabídky.

    V rozevírací nabídce se zobrazí pouze odběry cloudu, které jsou konfigurovány pod dodavatelem SSE vybraným v nabídce Typ odběru (Subscription Type).

    Tyto odběry cloudu jsou vyplněny na základě konfigurací v části Konfigurovat (Configure) > Služba zabezpečení Edge (SSE) (Security Service Edge (SSE)) > Odběry SSE (SSE Subscriptions).
  4. Kliknutím na tlačítko Další krok (Next Step) aktivujete další sekci.
  5. Pole zobrazená v části Vytvořit síťovou službu (Create Network Service) se liší v závislosti na vybraném Typu odběru (Subscription Type).
    Níže uvedený obrázek a tabulka jsou určeny pro typ odběru Prisma Access:
    Možnost Popis
    Název služby (Service Name) Zadejte jedinečný název služby.
    Minimální šířka pásma na tunel (Mb/s) (Minimum Bandwidth per Tunnel (Mbps)) Zadejte požadovanou šířku pásma. Výchozí hodnota je 2.
    Protokol navázání tunelového spojení (Tunneling Protocol) Ve výchozím nastavení je zvolen protokol navázání tunelového spojení IPsec. Z příslušných rozevíracích nabídek musíte vybrat Šifrovací profil IPSec (IPsec Crypto Profile)Šifrovací profil IKE (IKE Crypto Profile). Tyto rozevírací nabídky jsou vyplněny na základě profilů vytvořených v portálu Správce cloudu Strata služby Palo Alto Networks (Palo Alto Networks Strata Cloud Manager).
    Níže uvedený obrázek a tabulka jsou určeny pro typ odběru Symantec:
    Možnost Popis
    Název služby (Service Name) Zadejte jedinečný název služby.
    Protokol navázání tunelového spojení (Tunneling Protocol) Toto pole je nastaveno jako IPsec což je jediný podporovaný protokol.
  6. Kliknutím na tlačítko Vytvořit a pokračovat (Create and Continue) aktivujete další sekci.
  7. V části Zvolte profil / zařízení Edge (Select Profile/Edges) nakonfigurujte následující možnosti:
    Možnost Popis
    Vybrat profil (Select Profile) Z rozevírací nabídky vyberte profil zařízení Edge SD-WAN.
    Vybrat segment (Select Segment) Vyberte segment z rozbalovací nabídky. Ve výchozím nastavení je vybrána možnost Globální segment (Global Segment).
    Poznámka: Pro odběr Prisma můžete vybrat pouze jeden segment, zatímco pro odběr Symantec lze vybrat více segmentů.
  8. Jakmile vyberete Profil a Segment, automaticky se vyplní seznam zařízení Edge přidružených k vybranému profilu. Vyberte jedno nebo více zařízení Edge, u kterých chcete aplikovat integraci SSE.
  9. Pokud má zařízení Edge více než dvě linky sítě WAN, první dvě linky sítě WAN se do tabulky automaticky vyplní. Můžete vybrat linky WAN, které chcete použít pro automatizaci.
  10. Klikněte na možnost Ověřit konfiguraci tunelu (Validate Tunnel Configuration). Pokud je odběr některého z datových center nadměrný, zobrazí se varování.
    Poznámka: Tlačítko Ověřit konfiguraci tunelu (Validate Tunnel Configuration) je dostupné pouze pro typ odběru Prisma Access. Při nasazení Prisma musíte pro přidání kapacity šířky pásma v datovém centru zakoupit licenci. Tato licence omezuje maximální propustnost, a proto se zobrazuje varování.
  11. Jakmile je konfigurace tunelového propojení ověřena, klikněte na tlačítko Uložit a dokončit (Save and Finish). Nově vytvořená integrace SSE se zobrazí na seznamu na cílové stránce Služba zabezpečení Edge (SSE) (Security Service Edge (SSE)).
  12. Chcete-li upravit existující integraci SSE, vyberte ze seznamu integraci SSE a klikněte na možnost Upravit (Edit). Můžete ji také upravit kliknutím na odkaz na název integrace SSE.
  13. Chcete-li integraci SSE odstranit, vyberte ze seznamu integraci SSE a klikněte na možnost Odstranit (Delete).
    Poznámka: Nelze odstranit integrace SSE, které jsou aktuálně používány zařízeními Edge.
  14. Chcete-li sledovat stav automatizace, klikněte na možnost Zobrazit (View) ve sloupci Stav nasazení tunelu (Tunnel Deployment Status). Zobrazí se následující obrazovka:

    Akce createOrUpdateEdgeConfigurationdeleteEdgeConfiguration označují automatizaci SSE za účelem aktualizace nastavení zařízení Edge v aplikaci Orchestrator. Další akce slouží pro automatizace třetích stran.

    Poznámka: Stav zavádění SSE můžete také sledovat na obrazovkách Monitorování (Monitor) > Události (Events)Monitorování (Monitor) > Síťové služby (Network Services) > Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge). Další informace naleznete v tématu Monitorování událostíMonitorování síťových služeb.
  15. Chcete-li ověřit, zda jsou tunely v provozu, přejděte do nabídky Monitorování (Monitor) > Zařízení Edge (Edges) a najeďte myší pod sloupec Tunely zařízení Edge (Edge Tunnels). Podrobnosti můžete zobrazit níže:

Co dělat dále:

Přiřaďte odběr služby zabezpečení Edge k zařízení Edge. Další informace naleznete v tématu Konfigurace cloudové VPN a parametrů tunelu pro zařízení Edge.

Pokud chcete nasměrovat síťový provoz na konkrétní podnikový cloud, přejděte do nabídky Konfigurovat (Configure) > Zařízení Edge (Edges) > Pravidla řízení (Business Policy). Kliknutím na možnost + Přidat (+ Add) přidáte nové pravidlo. Další informace naleznete v tématu Vytvoření pravidla řízení.