VMware unterstützt die folgenden Non VMware SD-WAN Site-Konfigurationen:

  • Check Point
  • Cisco ASA
  • Cisco ISR
  • Generischer IKEv2-Router (routenbasiertes VPN)
  • Microsoft Azure Virtual Hub
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Generischer IKEv1-Router (routenbasiertes VPN)
  • Generische Firewall (richtlinienbasiertes VPN)
    Hinweis: VMware unterstützt jetzt Non VMware SD-WAN Site-Konfigurationen mit dem generischen IKEv1-Router (routenbasiertes VPN) und mit dem generischen IKEv2-Router (routenbasiertes VPN).

Cisco ASA

Cisco ASA ist eine weitere gängige Drittanbieterkonfiguration. Anweisungen zur Konfiguration mit Cisco ASA im SD-WAN Orchestrator werden unten aufgelistet.

So führen Sie eine Konfiguration über Cisco ASA durch:

  1. Navigieren Sie zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  2. Klicken Sie im Bereich Nicht-VeloCloud-Sites (Non-VeloCloud Sites) auf die Schaltfläche Neu (New).

    Das Dialogfeld Neue Nicht-VeloCloud-Site (New Non-VeloCloud Site) wird angezeigt.

    complementary-config-third-party-cisco-asa-new-dialog

  3. Gehen Sie im Dialogfeld Neue Nicht-VeloCloud-Site (New Non-VeloCloud Site) wie folgt vor:
    1. Geben Sie im Textfeld Name den Namen für die Non VMware SD-WAN Site ein.
    2. Wählen Sie im Dropdown-Menü Typ (Type) den Eintrag Cisco ASA aus.
    3. Geben Sie die IP-Adresse für das primäre VPN-Gateway ein und klicken Sie auf Weiter (Next).

    Ihre Non VMware SD-WAN Site wird erstellt, und ein Dialogfeld für Ihre Non VMware SD-WAN Site wird angezeigt.

    complementary-config-third-party-cisco-asa-site-dialog

  4. Gehen Sie im Dialogfeld für Ihre Non VMware SD-WAN Site wie folgt vor:
    1. Um Tunneleinstellungen für das primäre VPN-Gateway der Non VMware SD-WAN Site zu konfigurieren, klicken Sie auf die Schaltfläche Erweitert (Advanced), die sich am unteren Rand des Dialogfelds befindet.
    2. Im Bereich Primäres VPN-Gateway (Primary VPN Gateway) können Sie die folgenden Tunneleinstellungen konfigurieren:
      Feld Beschreibung
      PSK Der vorinstallierte Schlüssel (Pre-Shared Key, PSK), der der Sicherheitsschlüssel für die Authentifizierung über den Tunnel ist. Der Orchestrator generiert standardmäßig einen PSK. Wenn Sie einen eigenen PSK oder ein eigenes Kennwort verwenden möchten, können Sie dies in das Textfeld eingeben.
      Verschlüsselung (Encryption) Wählen Sie entweder AES 128 oder AES 256 als Algorithmus zum Verschlüsseln von Daten aus. Der Standardwert ist AES 128.
      DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Der Standardwert ist 2.
      PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Der Standardwert ist 2.
      Hinweis: Das sekundäre VPN-Gateway wird für den Netzwerkdiensttyp Cisco ASA nicht unterstützt.
      Hinweis:

      Bei einer Non VMware SD-WAN Site vom Typ Cisco ASA ist der standardmäßig verwendete lokale Authentifizierungs-ID-Wert die lokale IP der SD-WAN Gateway-Schnittstelle.

    3. Aktivieren Sie das Kontrollkästchen Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN), um redundante Tunnel für jedes VPN-Gateway hinzuzufügen.

      Alle Änderungen, die an „Verschlüsselung (Encryption)“, „DH-Gruppe (DH Group)“ oder „PFS von Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet. Nachdem Sie die Tunneleinstellungen des primären VPN-Gateways geändert haben, speichern Sie die Änderungen und klicken dann auf IKE/IPSec-Vorlage anzeigen (View IKE/IPSec Template), um die aktualisierte Tunnelkonfiguration anzuzeigen.

    4. Klicken Sie auf den Link Standort aktualisieren (Update location), um den Standort für die konfigurierte Non VMware SD-WAN Site anzuzeigen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann.
    5. Unter Site-Subnetze (Site Subnets) können Sie Subnetze für die Non VMware SD-WAN Site hinzufügen, indem Sie auf die Schaltfläche mit dem Pluszeichen (+) klicken.
    6. Verwenden Sie Benutzerdefinierte Quellsubnetze (Custom Source Subnets), um die an dieses VPN-Gerät weitergeleiteten Quellsubnetze außer Kraft zu setzen. Normalerweise werden Quellsubnetze von den an dieses Gerät weitergeleiteten Edge-LAN-Subnetzen abgeleitet.
    7. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), sobald Sie bereit sind, den Tunnel vom SD-WAN Gateway zu den Cisco ASA-VPN-Gateways zu initiieren.
    8. Klicken Sie auf Änderungen speichern (Save Changes).

Cisco ISR

Cisco ISR ist eine der gängigeren Drittanbieterkonfigurationen. Anweisungen zur Konfiguration mit Cisco ISR in SD-WAN Orchestrator sind unten aufgelistet.

So führen Sie eine Konfiguration über Cisco ISR durch:

  1. Navigieren Sie zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  2. Klicken Sie im Bereich Nicht-VeloCloud-Sites (Non-VeloCloud Sites) auf die Schaltfläche Neu (New).

    Das Dialogfeld „Neue Nicht-VeloCloud-Site“ (New Non-VeloCloud Site) wird angezeigt.

    complementary-config-third-party-datacenter-new-dialog

  3. Gehen Sie im Dialogfeld Neue Nicht-VeloCloud-Site (New Non-VeloCloud Site) wie folgt vor:
    1. Geben Sie im Textfeld Name den Namen für die Non VMware SD-WAN Site ein.
    2. Wählen Sie im Dropdown-Menü Typ (Type) den Eintrag Cisco ISR aus.
    3. Geben Sie die IP-Adresse für das primäre VPN-Gateway ein und klicken Sie auf Weiter (Next).

    Ihre Non VMware SD-WAN Site wird erstellt, und ein Dialogfeld für Ihre Non VMware SD-WAN Site wird angezeigt.

    complementary-config-third-party-site-dialog

  4. Gehen Sie im Dialogfeld für Ihre Non VMware SD-WAN Site wie folgt vor:
    1. Um Tunneleinstellungen für das primäre VPN-Gateway der Non VMware SD-WAN Site zu konfigurieren, klicken Sie auf die Schaltfläche Erweitert (Advanced), die sich am unteren Rand des Dialogfelds befindet.
    2. Konfigurieren Sie Tunneleinstellungen, wie z. B. PSK, Verschlüsselung (Encryption), DH-Gruppe (DH Group) und PFS, unter Beachtung der obigen Tabelle.
    3. Wenn Sie ein sekundäres VPN-Gateway für diese Site erstellen möchten, klicken Sie auf die Schaltfläche Hinzufügen (Add) neben Sekundäres VPN-Gateway (Secondary VPN Gateway). Geben Sie im Popup-Fenster die IP-Adresse des sekundären VPN-Gateways ein und klicken Sie auf Änderungen speichern (Save Changes).

      Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.

      Hinweis:

      Bei einer Non VMware SD-WAN Site vom Typ Cisco ISR ist der standardmäßig verwendete lokale Authentifizierungs-ID-Wert die lokale IP der SD-WAN Gateway-Schnittstelle.

    4. Aktivieren Sie das Kontrollkästchen Redundantes VeloCloud-Cloud-VPN (Redundant VeloCloud Cloud VPN), um redundante Tunnel für jedes VPN-Gateway hinzuzufügen.
    5. Unter Site-Subnetze (Site Subnets) können Sie Subnetze für die Non VMware SD-WAN Site hinzufügen, indem Sie auf die Schaltfläche mit dem Pluszeichen (+) klicken.
    6. Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), sobald Sie bereit sind, den Tunnel vom SD-WAN Gateway zu den Cisco ISR-VPN-Gateways zu initiieren.
    7. Klicken Sie auf Änderungen speichern (Save Changes).

Microsoft Azure Virtual Hub

Microsoft Azure Virtual Hub ist eine der gängigeren Drittanbieterkonfigurationen. Anweisungen zum Konfigurieren einer Non VMware SD-WAN Site vom Typ Microsoft Azure Virtual Hub in SD-WAN Orchestrator finden Sie unter Konfigurieren einer Microsoft Azure-Non VMware SD-WAN Site.