Das Cloud-VPN (Virtual Private Network) ermöglicht eine VPNC-konforme IPSec-VPN-Verbindung, die VMware und Nicht-SD-WAN-Ziele miteinander verbindet. Es zeigt außerdem die Integrität der Sites an (aktiv oder inaktiv) und liefert den Echtzeitstatus der Sites.

Cloud-VPN unterstützt die folgenden Datenverkehrsströme:

  • Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway
  • Zweigstelle-zu-SD-WAN Hub
  • Zweigstelle-zu-Zweigstelle-VPN
  • Zweigstelle-zu-Nicht-SD-WAN-Ziel über Edge

Die folgende Abbildung stellt alle drei Zweige des Cloud-VPN dar. Die Zahlen in der Abbildung repräsentieren jede Zweigstelle und entsprechen den Beschreibungen in der folgenden Tabelle.

red-1 Nicht-SD-WAN-Ziel
red-2 Zweigstelle-zu-SD-WAN Hub
red-3 Zweigstelle-zu-Zweigstelle-VPN
red-4 Zweigstelle-zu-Nicht-SD-WAN-Ziel
red-5 Zweigstelle-zu-Nicht-SD-WAN-Ziel

Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway)

Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway) unterstützt die folgenden Konfigurationen:

  • Verbindung mit Kundendatencenter mit vorhandenem Firewall-VPN-Router
  • Iaas
  • Verbindung mit CWS (Zscaler)

Verbindung mit Kundendatencenter mit vorhandenem Firewall-VPN-Router

Eine VPN-Verbindung zwischen dem VMware-Gateway und der Datencenter-Firewall (beliebiger VPN-Router) bietet Konnektivität zwischen den Zweigstellen (mit SD-WAN Edges installiert) und Nicht-SD-WAN-Ziele, was wiederum zu einer einfachen Implementierung führt. Dies bedeutet, dass keine Installation des Kundendatencenters erforderlich ist.

Die folgende Abbildung zeigt eine VPN-Konfiguration:

red-1 Primärer Tunnel
red-2 Redundanter Tunnel
red-3 Sekundäres VPN-Gateway (Secondary VPN Gateway)
VMware unterstützt die folgenden Nicht-SD-WAN-Ziel-Konfigurationen über SD-WAN Gateway:
  • Check Point
  • Cisco ASA
  • Cisco ISR
  • Generischer IKEv2-Router (routenbasiertes VPN)
  • Microsoft Azure Virtual Hub
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Generischer IKEv1-Router (routenbasiertes VPN)
  • Generische Firewall (richtlinienbasiertes VPN)
    Hinweis: VMware unterstützt sowohl die generische routenbasierte als auch die richtlinienbasierte Nicht-SD-WAN-Ziel aus Gateway.

Informationen zum Konfigurieren einer Zweigstelle-zu-Nicht-SD-WAN-Ziel über SD-WAN Gateway finden Sie unter Konfigurieren von Nicht-SD-WAN-Zielen über Gateway.

Iaas

Verwenden Sie beim Konfigurieren mit Amazon Web Services (AWS) die Option „Generische Firewall (richtlinienbasiertes VPN) (Generic Firewall (Policy Based VPN))“ im Dialogfeld „Nicht-SD-WAN-Ziel“.

Die Konfiguration mit einer Drittpartei kann Ihnen auf folgende Weise Vorteile bringen:

  • Eliminiert Mesh
  • Kosten (Cost)
  • Leistung

Ein VMware-Cloud-VPN ist im Vergleich zu einem herkömmlichen WAN zu VPC einfach einzurichten (globale Netzwerke von SD-WAN Gateways eliminieren die Mesh-Tunnel-Anforderung an VPCs), es verfügt über eine zentrale Richtlinie zur Kontrolle des VPC-Zugriffs von Zweigstellen, gewährleistet die Leistung und sichert die Konnektivität.

Informationen zur Konfiguration mithilfe von Amazon Web Services (AWS) finden Sie im Abschnitt Konfigurieren von Amazon Web Services.

Verbindung mit CWS (Zscaler)

Zscaler Web Security bietet Sicherheit, Sichtbarkeit und Kontrolle. Zscaler wird in der Cloud bereitgestellt und bietet Websicherheit mit Funktionen wie Bedrohungsschutz, Echtzeit-Analyse und Forensik.

Die Konfiguration mithilfe von Zscaler bietet die folgenden Vorteile:

  • Leistung: Direkt zu Zscaler (Zscaler über Gateway)
  • Die Proxy-Verwaltung ist komplex: Ermöglicht Zscaler mit einfacher Klick-Richtlinie

Zweigstelle-zu-SD-WAN Hub

Der SD-WAN Hub ist ein Edge, der in Datencentern eingesetzt wird, damit Zweigstellen auf die Ressourcen von Datencentern zugreifen können. Sie müssen Ihren SD-WAN Hub auf der SD-WAN Orchestrator-Instanz einrichten. Die SD-WAN Orchestrator-Instanz benachrichtigt alle SD-WAN Edges-Instanzen über die Hubs, und die SD-WAN Edges-Instanzen erstellen sichere Overlay-Tunnel mit mehreren Pfaden zu den Hubs.

Die folgende Abbildung zeigt, wie sowohl „Aktiv-Standby“ als auch „Aktiv-Aktiv“ unterstützt werden.

Zweigstelle-zu-Zweigstelle-VPN

Das Zweigstelle-zu-Zweigstelle-VPN unterstützt Konfigurationen für das Herstellen einer VPN-Verbindung zwischen Zweigstellen zur Verbesserung der Leistung und Skalierbarkeit.

Das Zweigstelle-zu-Zweigstelle-VPN unterstützt zwei Konfigurationen:

  • Cloud-Gateways
  • SD-WAN Hubs für VPN

Die folgende Abbildung zeigt die Zweigstelle-zu-Zweigstelle-Datenverkehrsströme sowohl für Cloud-Gateway als auch für einen SD-WAN Hub.

Sie können auch „Dynamisches Zweigstelle-zu-Zweigstelle-VPN (Dynamic Branch to Branch VPN)“ für die Cloud-Gateways und Hubs aktivieren.

Sie können auch auf die Funktion „Cloud-VPN mit einem Klick (1-click Cloud VPN)“ zugreifen, indem Sie in SD-WAN Orchestrator die Option Konfigurieren (Configure) > Profile (Profiles) > Registerkarte „Gerät“ (Device Tab) im Bereich Cloud-VPN (Cloud VPN) auswählen.

Hinweis: Schrittweise Anleitungen zum Konfigurieren von Cloud-VPN finden Sie unter Konfigurieren von Cloud-VPN für Profile.

Zweigstelle-zu-Nicht-SD-WAN-Ziel-über Edge (Non SD-WAN Destination via Edge)

Zweigstelle-zu-Nicht-SD-WAN-Ziel-über Edge (Non SD-WAN Destination via Edge) unterstützt die folgenden routenbasierten VPN-Konfigurationen:

  • Generischer IKEv2-Router (routenbasiertes VPN)
  • Generischer IKEv1-Router (routenbasiertes VPN)
Hinweis: VMware unterstützt nur routenbasierte Nicht-SD-WAN-Ziel-Konfigurationen über Edge.

Weitere Informationen finden Sie unter Konfigurieren von Nicht-SD-WAN-Zielen über Edge.