In diesem Abschnitt werden die wichtigen Konzepte und die wesentlichen Konfigurationseinstellungen von SASE Orchestrator erläutert.

Konfigurationen

Der VMware-Dienst verfügt über vier Kernkonfigurationen, die eine hierarchische Beziehung aufweisen. Erstellen Sie diese Konfigurationen in SASE Orchestrator.

Die folgende Tabelle bietet einen Überblick über die Konfigurationen:

Konfiguration Beschreibung
Netzwerk (Network) Definiert grundlegende Netzwerkkonfigurationen, wie z. B. IP-Adressierung und VLANs. Netzwerke können als „Unternehmen“ oder „Gast“ bezeichnet werden. Außerdem kann es für jedes Netzwerk mehrere Definitionen geben.
Netzwerkdienste Definieren Sie mehrere gängige Dienste, die vom VMware-Dienst verwendet werden, wie z. B. BackHaul-Sites, Cloud-VPN-Hubs, Nicht-SD-WAN-Ziele-Instanzen, Cloud-Proxy-Dienste, DNS-Dienste und Authentifizierungsdienste.
Profil Definiert eine Vorlagenkonfiguration, die auf mehrere Edges angewendet werden kann. Ein Profil wird konfiguriert, indem eine Netzwerk und Netzwerkdienste ausgewählt werden. Ein Profil kann auf ein oder mehrere Edge-Modelle angewendet werden und definiert die Einstellungen für LAN-, Internet-, WLAN- und WAN-Edge-Schnittstellen. In Profilen können auch Einstellungen für WLAN-Funk, SNMP, NetFlow, Business Policies und die Firewallkonfiguration bereitgestellt werden.
Edge Konfigurationen bieten einen vollständigen Satz an Einstellungen, die auf ein Edge-Gerät heruntergeladen werden können. Bei der Edge-Konfiguration handelt es sich um mehrere Einstellungen aus einem ausgewählten Profil, einem ausgewählten Netzwerk oder aus Netzwerkdiensten. Eine Edge-Konfiguration kann auch Einstellungen überschreiben oder fügt sortierte Richtlinien zu den im Profil, im Netzwerk und in den Netzwerkdiensten definierten Richtlinien hinzu.

Die folgende Abbildung bietet einen detaillierten Überblick über die Beziehungen und Konfigurationseinstellungen mehrerer Edges, Profile, Netzwerke und Netzwerkdienste.

Ein einzelnes Profil kann mehreren Edges zugewiesen werden. Eine einzelne Netzwerkkonfiguration kann in mehreren Profilen verwendet werden. Konfigurationen von Netzwerkdiensten werden in allen Profilen verwendet.

Netzwerke (Networks)

Bei Netzwerken handelt es sich um Standardkonfigurationen, die Netzwerkadressbereiche und VLAN-Zuweisungen für Edges definieren. Sie können die folgenden Netzwerktypen konfigurieren:
  • Unternehmensnetzwerke oder vertrauenswürdige Netzwerke, die entweder mit überlappenden oder nicht überlappenden Adressen konfiguriert werden können.
  • Gastnetzwerke oder nicht vertrauenswürdige Netzwerke, die immer überlappende Adressen verwenden.

Sie können mehrere Unternehmens- und Gastnetzwerke definieren und beiden Netzwerken VLANs zuweisen.

Bei überlappenden Adressen weisen alle Edges, die das Netzwerk verwenden, denselben Adressbereich auf. Überlappende Adressen sind mit Nicht-VPN-Konfigurationen verknüpft.

Bei nicht überlappenden Adressen wird ein Adressraum in Blöcke mit einer gleichen Anzahl von Adressen aufgeteilt. Nicht überlappende Adressen sind mit VPN-Konfigurationen verknüpft. Die Adressblöcke werden den Edges zugewiesen, die das Netzwerk verwenden, sodass jeder Edge über einen eindeutigen Satz an Adressen verfügt. Nicht überlappende Adressen werden für Edge-zu-Edge- und Edge -zu- Nicht-SD-WAN-Ziel-VPN-Kommunikation benötigt. Die VMware-Konfiguration erstellt die erforderlichen Informationen, um auf ein Enterprise Data Center-Gateway für den VPN-Zugriff zuzugreifen. Ein Administrator für das Enterprise Data Center-Gateway verwendet die IPSec-Konfigurationsinformationen, die während der Konfiguration des Nicht-SD-WAN-Ziel-VPN generiert wurden, zum Konfigurieren des Tunnels zur Nicht-SD-WAN-Ziel.

In der folgenden Abbildung wird die Zuweisung eindeutiger IP-Adressblöcke aus einer Netzwerkkonfiguration zu SD-WAN Edge dargestellt.

Hinweis: Wenn Sie nicht überlappende Adressen verwenden, teilt der SASE Orchestrator automatisch den Edges die Adressblöcke zu. Die Zuteilung erfolgt basierend auf der maximalen Anzahl der Edges, die ggf. die Netzwerkkonfiguration nutzen.

Netzwerkdienste

Sie können Ihre Unternehmensnetzwerkdienste definieren und für alle Profile verwenden. Hierzu gehören Dienste für Authentifizierung, Cloud-Proxy, Nicht-SD-WAN-Ziele-Instanzen und DNS. Die definierten Netzwerkdienste werden nur dann verwendet, wenn sie einem Profil zugewiesen sind.

Profile (Profiles)

Bei einem Profil handelt es sich um eine benannte Konfiguration, durch die eine Liste von VLANs, Cloud-VPN-Einstellungen, kabelgebundenen und Wireless-Schnittstelleneinstellungen sowie Netzwerkdiensten wie DNS-Einstellungen, Authentifizierungseinstellungen, Cloud-Proxy-Einstellungen und VPN-Verbindungen mit Nicht-SD-WAN-Ziele definiert wird. Mithilfe der Profile können Sie eine Standardkonfiguration für einen oder mehrere SD-WAN Edgess definieren.

Profile enthalten Cloud-VPN-Einstellungen für Edges, die für VPN konfiguriert sind. Mit den Cloud-VPN-Einstellungen können Edge-zu-Edge- und Edge-zu-Nicht-SD-WAN-Ziel-VPN-Verbindungen aktiviert oder deaktiviert werden.

Darüber hinaus können in Profilen Regeln und Konfigurationen für Business Policies und Firewalleinstellungen definiert werden.

Edges

Sie können einem Edge ein Profil zuweisen. Der Edge leitet den größten Teil der Konfigurationseinstellungen aus dem Profil ab.

Die meisten in einem Profil oder Netzwerk oder in Netzwerkdiensten definierten Einstellungen können Sie ohne Änderung in einer Edge-Konfiguration verwenden. Sie können die Einstellungen für die Edge-Konfigurationselemente jedoch auch überschreiben, um einen Edge für ein bestimmtes Szenario anzupassen.  Hierzu gehören Einstellungen für Schnittstellen, WLAN-Funk, DNS, Authentifizierung, Business Policies und Firewalls.

Darüber hinaus können Sie einen Edge so konfigurieren, dass er um Einstellungen ergänzt wird, die in der Profil- oder Netzwerkkonfiguration nicht vorhanden sind. Hierzu gehören Subnetzadressierung, statische Routeneinstellungen und eingehende Firewallregeln für Portweiterleitung und 1:1-NAT.

Workflow für die Orchestrator-Konfiguration

VMware unterstützt mehrere Konfigurationsszenarien. In der folgenden Tabelle sind einige der gängigen Szenarien aufgelistet:

Szenario Beschreibung
SaaS Wird für Edges verwendet, die keine VPN-Verbindungen zwischen Edges zu einer Nicht-SD-WAN-Ziel oder einer VMware SD-WAN Site benötigen. Im Workflow wird davon ausgegangen, dass bei der Adressierung für das Unternehmensnetzwerk überlappende Adressen verwendet werden.
Nicht-SD-WAN-Ziel über VPN Wird für Edges verwendet, die VPN-Verbindungen mit einer Nicht-SD-WAN-Ziel benötigen, wie z. B. Amazon Web Services, Zscaler, Cisco ISR oder die ASR 1000-Serie. In diesem Workflow wird davon ausgegangen, dass bei der Adressierung für das Unternehmensnetzwerk nicht überlappende Adressen und die Nicht-SD-WAN-Ziele im Profil definiert sind.
VMware SD-WAN Site-VPN Wird für Edges verwendet, die VPN-Verbindungen mit einer VMware SD-WAN Site benötigen, wie z. B. Edge- oder Cloud-VPN-Hub. In diesem Workflow wird davon ausgegangen, dass bei der Adressierung für das Unternehmensnetzwerk nicht überlappende Adressen und die VMware SD-WAN Sites im Profil definiert sind.

Führen Sie für jedes Szenario die Konfigurationen im SASE Orchestrator in der nachstehenden Reihenfolge durch:

Schritt 1: Netzwerk

Schritt 2: Netzwerkdienste

Schritt 3: Profil

Schritt 4: Edge

In der folgenden Tabelle finden Sie eine allgemeine Übersicht über die Schnellstartkonfiguration der einzelnen Workflows. Die vorkonfigurierten Netzwerk-, Netzwerkdienste- und Profilkonfigurationen können Sie für Schnellstartkonfigurationen verwenden. Ändern Sie für VPN-Konfigurationen das vorhandene VPN-Profil und konfigurieren Sie die VMware SD-WAN Site oder die Nicht-SD-WAN-Ziel. Der letzte Schritt besteht darin, einen neuen Edge zu erstellen und zu aktivieren.

Schritte bei der Schnellstartkonfiguration

SaaS

Nicht-SD-WAN-Ziel-VPN

VMware SD-WAN Site-VPN

Schritt 1: Netzwerk Internetnetzwerk für Schnellstart auswählen VPN-Netzwerk für Schnellstart auswählen VPN-Netzwerk für Schnellstart auswählen
Schritt 2: Netzwerkdienst Vorkonfigurierte Netzwerkdienste verwenden Vorkonfigurierte Netzwerkdienste verwenden Vorkonfigurierte Netzwerkdienste verwenden
Schritt 3: Profil Internetprofil für Schnellstart auswählen

VPN-Profil für Schnellstart auswählen

Cloud-VPN aktivieren und Nicht-SD-WAN-Ziele konfigurieren

VPN-Profil für Schnellstart auswählen

Cloud-VPN aktivieren und VMware SD-WAN Sites konfigurieren

Schritt 4: Edge Neuen Edge hinzufügen und aktivieren

Neuen Edge hinzufügen und aktivieren

Neuen Edge hinzufügen und aktivieren

Weitere Informationen finden Sie unter Aktivieren von SD-WAN Edges.