Das Cloud-VPN (Virtual Private Network) ermöglicht eine VPNC-konforme IPSec-VPN-Verbindung, die VMware und Non VMware SD-WAN Sites miteinander verbindet. Es zeigt außerdem die Integrität der Sites an (aktiv oder inaktiv) und liefert den Echtzeitstatus der Sites.
Cloud-VPN unterstützt die folgenden Datenverkehrsströme:
- Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway
- Zweigstelle-zu-SD-WAN Hub
- Zweigstelle-zu-Zweigstelle-VPN
- Zweigstelle-zu-Nicht-SD-WAN-Ziel über Edge
Die folgende Abbildung stellt alle drei Zweige des Cloud-VPN dar. Die Zahlen in der Abbildung repräsentieren jede Zweigstelle und entsprechen den Beschreibungen in der folgenden Tabelle.
Non VMware SD-WAN Site | |
Zweigstelle-zu-SD-WAN Hub | |
Zweigstelle-zu-Zweigstelle-VPN | |
Zweigstelle-zu-Non VMware SD-WAN Site | |
Zweigstelle-zu-Non VMware SD-WAN Site |
Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway)
Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway) unterstützt die folgenden Konfigurationen:
- Verbindung mit Kundendatencenter mit vorhandenem Firewall-VPN-Router
- Iaas
- Verbindung mit CWS (Zscaler)
Verbindung mit Kundendatencenter mit vorhandenem Firewall-VPN-Router
Eine VPN-Verbindung zwischen dem VMware-Gateway und der Datencenter-Firewall (beliebiger VPN-Router) bietet Konnektivität zwischen den Zweigstellen (mit SD-WAN Edges installiert) und Non VMware SD-WAN Sites, was wiederum zu einer einfachen Implementierung führt. Dies bedeutet, dass keine Installation des Kundendatencenters erforderlich ist.
Die folgende Abbildung zeigt eine VPN-Konfiguration:
Primärer Tunnel | |
Redundanter Tunnel | |
Sekundäres VPN-Gateway |
- Check Point
- Cisco ASA
- Cisco ISR
- Generischer IKEv2-Router (routenbasiertes VPN)
- Microsoft Azure Virtual Hub
- Palo Alto
- SonicWALL
- Zscaler
- Generischer IKEv1-Router (routenbasiertes VPN)
- Generische Firewall (richtlinienbasiertes VPN)
Hinweis: VMware unterstützt sowohl die generische routenbasierte als auch die richtlinienbasierte Non VMware SD-WAN Site aus Gateway.
Informationen zum Konfigurieren einer Zweigstelle-zu-Non VMware SD-WAN Site über SD-WAN Gateway finden Sie unter Konfigurieren von Nicht-SD-WAN-Zielen über Gateway.
Iaas
Verwenden Sie beim Konfigurieren mit Amazon Web Services (AWS) die Option „Generische Firewall (richtlinienbasiertes VPN) (Generic Firewall (Policy Based VPN))“ im Dialogfeld „Non VMware SD-WAN Site“.
Die Konfiguration mit einer Drittpartei kann Ihnen auf folgende Weise Vorteile bringen:
- Eliminiert Mesh
- Kosten
- Leistung
Ein VMware-Cloud-VPN ist im Vergleich zu einem herkömmlichen WAN zu VPC einfach einzurichten (globale Netzwerke von SD-WAN Gateways eliminieren die Mesh-Tunnel-Anforderung an VPCs), es verfügt über eine zentrale Richtlinie zur Kontrolle des VPC-Zugriffs von Zweigstellen, gewährleistet die Leistung und sichert die Konnektivität.
Informationen zur Konfiguration mithilfe von Amazon Web Services (AWS) finden Sie im Abschnitt Konfigurieren von Amazon Web Services.
Verbindung mit CWS (Zscaler)
Zscaler Web Security bietet Sicherheit, Sichtbarkeit und Kontrolle. Zscaler wird in der Cloud bereitgestellt und bietet Websicherheit mit Funktionen wie Bedrohungsschutz, Echtzeit-Analyse und Forensik.
Die Konfiguration mithilfe von Zscaler bietet die folgenden Vorteile:
- Leistung: Direkt zu Zscaler (Zscaler über Gateway)
- Die Proxy-Verwaltung ist komplex: Ermöglicht Zscaler mit einfacher Klick-Richtlinie
Zweigstelle-zu-SD-WAN Hub
Der SD-WAN Hub ist ein Edge, der in Datencentern eingesetzt wird, damit Zweigstellen auf die Ressourcen von Datencentern zugreifen können. Sie müssen Ihren SD-WAN Hub auf der SD-WAN Orchestrator-Instanz einrichten. Die SD-WAN Orchestrator-Instanz benachrichtigt alle SD-WAN Edges-Instanzen über die Hubs, und die SD-WAN Edges-Instanzen erstellen sichere Overlay-Tunnel mit mehreren Pfaden zu den Hubs.
Die folgende Abbildung zeigt, wie sowohl „Aktiv-Standby“ als auch „Aktiv-Aktiv“ unterstützt werden.
Zweigstelle-zu-Zweigstelle-VPN
Das Zweigstelle-zu-Zweigstelle-VPN unterstützt Konfigurationen für das Herstellen einer VPN-Verbindung zwischen Zweigstellen zur Verbesserung der Leistung und Skalierbarkeit.
Das Zweigstelle-zu-Zweigstelle-VPN unterstützt zwei Konfigurationen:
- Cloud-Gateways
- SD-WAN Hubs für VPN
Die folgende Abbildung zeigt die Zweigstelle-zu-Zweigstelle-Datenverkehrsströme sowohl für Cloud-Gateway als auch für einen SD-WAN Hub.
Sie können auch „Dynamisches Zweigstelle-zu-Zweigstelle-VPN (Dynamic Branch to Branch VPN)“ für die Cloud-Gateways und Hubs aktivieren.
Sie können auch auf die Funktion „Cloud-VPN mit einem Klick (1-click Cloud VPN)“ zugreifen, indem Sie in SD-WAN Orchestrator die Option Konfigurieren (Configure) > Profile (Profiles) > Registerkarte „Gerät“ (Device Tab) im Bereich Cloud-VPN (Cloud VPN) auswählen.
Zweigstelle-zu-Nicht-SD-WAN-Ziel-über Edge (Non SD-WAN Destination via Edge)
Zweigstelle-zu-Nicht-SD-WAN-Ziel-über Edge (Non SD-WAN Destination via Edge) unterstützt die folgenden routenbasierten VPN-Konfigurationen:
- Generischer IKEv2-Router (routenbasiertes VPN)
- Generischer IKEv1-Router (routenbasiertes VPN)
Weitere Informationen finden Sie unter Konfigurieren von Nicht-SD-WAN-Zielen über Edge.