In diesem Abschnitt werden die wichtigen Konzepte und die wesentlichen Konfigurationseinstellungen von SASE Orchestrator erläutert.
Konfigurationen
Der VMware-Dienst verfügt über vier Kernkonfigurationen, die eine hierarchische Beziehung aufweisen. Erstellen Sie diese Konfigurationen in SASE Orchestrator.
Die folgende Tabelle bietet einen Überblick über die Konfigurationen:
| Konfiguration | Beschreibung |
|---|---|
| Netzwerk (Network) | Definiert grundlegende Netzwerkkonfigurationen, wie z. B. IP-Adressierung und VLANs. Netzwerke können als „Unternehmen“ oder „Gast“ bezeichnet werden. Außerdem kann es für jedes Netzwerk mehrere Definitionen geben. |
| Netzwerkdienste | Definieren Sie mehrere gängige Dienste, die vom VMware-Dienst verwendet werden, wie z. B. BackHaul-Sites, Cloud-VPN-Hubs, Nicht-SD-WAN-Ziele-Instanzen, Cloud-Proxy-Dienste, DNS-Dienste und Authentifizierungsdienste. |
| Profil | Definiert eine Vorlagenkonfiguration, die auf mehrere Edges angewendet werden kann. Ein Profil wird konfiguriert, indem eine Netzwerk und Netzwerkdienste ausgewählt werden. Ein Profil kann auf ein oder mehrere Edge-Modelle angewendet werden und definiert die Einstellungen für LAN-, Internet-, WLAN- und WAN-Edge-Schnittstellen. In Profilen können auch Einstellungen für WLAN-Funk, SNMP, NetFlow, Business Policies und die Firewallkonfiguration bereitgestellt werden. |
| Edge | Konfigurationen bieten einen vollständigen Satz an Einstellungen, die auf ein Edge-Gerät heruntergeladen werden können. Bei der Edge-Konfiguration handelt es sich um mehrere Einstellungen aus einem ausgewählten Profil, einem ausgewählten Netzwerk oder aus Netzwerkdiensten. Eine Edge-Konfiguration kann auch Einstellungen überschreiben oder fügt sortierte Richtlinien zu den im Profil, im Netzwerk und in den Netzwerkdiensten definierten Richtlinien hinzu. |
Die folgende Abbildung bietet einen detaillierten Überblick über die Beziehungen und Konfigurationseinstellungen mehrerer Edges, Profile, Netzwerke und Netzwerkdienste.
Ein einzelnes Profil kann mehreren Edges zugewiesen werden. Eine einzelne Netzwerkkonfiguration kann in mehreren Profilen verwendet werden. Konfigurationen von Netzwerkdiensten werden in allen Profilen verwendet.
Netzwerke (Networks)
- Unternehmensnetzwerke oder vertrauenswürdige Netzwerke, die entweder mit überlappenden oder nicht überlappenden Adressen konfiguriert werden können.
- Gastnetzwerke oder nicht vertrauenswürdige Netzwerke, die immer überlappende Adressen verwenden.
Sie können mehrere Unternehmens- und Gastnetzwerke definieren und beiden Netzwerken VLANs zuweisen.
Bei überlappenden Adressen weisen alle Edges, die das Netzwerk verwenden, denselben Adressbereich auf. Überlappende Adressen sind mit Nicht-VPN-Konfigurationen verknüpft.
Bei nicht überlappenden Adressen wird ein Adressraum in Blöcke mit einer gleichen Anzahl von Adressen aufgeteilt. Nicht überlappende Adressen sind mit VPN-Konfigurationen verknüpft. Die Adressblöcke werden den Edges zugewiesen, die das Netzwerk verwenden, sodass jeder Edge über einen eindeutigen Satz an Adressen verfügt. Nicht überlappende Adressen werden für Edge-zu-Edge- und Edge -zu- Nicht-SD-WAN-Ziel-VPN-Kommunikation benötigt. Die VMware-Konfiguration erstellt die erforderlichen Informationen, um auf ein Enterprise Data Center-Gateway für den VPN-Zugriff zuzugreifen. Ein Administrator für das Enterprise Data Center-Gateway verwendet die IPSec-Konfigurationsinformationen, die während der Konfiguration des Nicht-SD-WAN-Ziel-VPN generiert wurden, zum Konfigurieren des Tunnels zur Nicht-SD-WAN-Ziel.
In der folgenden Abbildung wird die Zuweisung eindeutiger IP-Adressblöcke aus einer Netzwerkkonfiguration zu SD-WAN Edge dargestellt.
Netzwerkdienste
Sie können Ihre Unternehmensnetzwerkdienste definieren und für alle Profile verwenden. Hierzu gehören Dienste für Authentifizierung, Cloud-Proxy, Nicht-SD-WAN-Ziele-Instanzen und DNS. Die definierten Netzwerkdienste werden nur dann verwendet, wenn sie einem Profil zugewiesen sind.
Profile (Profiles)
Bei einem Profil handelt es sich um eine benannte Konfiguration, durch die eine Liste von VLANs, Cloud-VPN-Einstellungen, kabelgebundenen und Wireless-Schnittstelleneinstellungen sowie Netzwerkdiensten wie DNS-Einstellungen, Authentifizierungseinstellungen, Cloud-Proxy-Einstellungen und VPN-Verbindungen mit Nicht-SD-WAN-Ziele definiert wird. Mithilfe der Profile können Sie eine Standardkonfiguration für einen oder mehrere SD-WAN Edgess definieren.
Profile enthalten Cloud-VPN-Einstellungen für Edges, die für VPN konfiguriert sind. Mit den Cloud-VPN-Einstellungen können Edge-zu-Edge- und Edge-zu-Nicht-SD-WAN-Ziel-VPN-Verbindungen aktiviert oder deaktiviert werden.
Darüber hinaus können in Profilen Regeln und Konfigurationen für Business Policies und Firewalleinstellungen definiert werden.
Edges
Sie können einem Edge ein Profil zuweisen. Der Edge leitet den größten Teil der Konfigurationseinstellungen aus dem Profil ab.
Die meisten in einem Profil oder Netzwerk oder in Netzwerkdiensten definierten Einstellungen können Sie ohne Änderung in einer Edge-Konfiguration verwenden. Sie können die Einstellungen für die Edge-Konfigurationselemente jedoch auch überschreiben, um einen Edge für ein bestimmtes Szenario anzupassen. Hierzu gehören Einstellungen für Schnittstellen, WLAN-Funk, DNS, Authentifizierung, Business Policies und Firewalls.
Darüber hinaus können Sie einen Edge so konfigurieren, dass er um Einstellungen ergänzt wird, die in der Profil- oder Netzwerkkonfiguration nicht vorhanden sind. Hierzu gehören Subnetzadressierung, statische Routeneinstellungen und eingehende Firewallregeln für Portweiterleitung und 1:1-NAT.
Workflow für die Orchestrator-Konfiguration
VMware unterstützt mehrere Konfigurationsszenarien. In der folgenden Tabelle sind einige der gängigen Szenarien aufgelistet:
| Szenario | Beschreibung |
|---|---|
| SaaS | Wird für Edges verwendet, die keine VPN-Verbindungen zwischen Edges zu einer Nicht-SD-WAN-Ziel oder einer VMware SD-WAN Site benötigen. Im Workflow wird davon ausgegangen, dass bei der Adressierung für das Unternehmensnetzwerk überlappende Adressen verwendet werden. |
| Nicht-SD-WAN-Ziel über VPN | Wird für Edges verwendet, die VPN-Verbindungen mit einer Nicht-SD-WAN-Ziel benötigen, wie z. B. Amazon Web Services, Zscaler, Cisco ISR oder die ASR 1000-Serie. In diesem Workflow wird davon ausgegangen, dass bei der Adressierung für das Unternehmensnetzwerk nicht überlappende Adressen und die Nicht-SD-WAN-Ziele im Profil definiert sind. |
| VMware SD-WAN Site-VPN | Wird für Edges verwendet, die VPN-Verbindungen mit einer VMware SD-WAN Site benötigen, wie z. B. Edge- oder Cloud-VPN-Hub. In diesem Workflow wird davon ausgegangen, dass bei der Adressierung für das Unternehmensnetzwerk nicht überlappende Adressen und die VMware SD-WAN Sites im Profil definiert sind. |
Führen Sie für jedes Szenario die Konfigurationen im SASE Orchestrator in der nachstehenden Reihenfolge durch:
Schritt 1: Netzwerk
Schritt 2: Netzwerkdienste
Schritt 3: Profil
Schritt 4: Edge
In der folgenden Tabelle finden Sie eine allgemeine Übersicht über die Schnellstartkonfiguration der einzelnen Workflows. Die vorkonfigurierten Netzwerk-, Netzwerkdienste- und Profilkonfigurationen können Sie für Schnellstartkonfigurationen verwenden. Ändern Sie für VPN-Konfigurationen das vorhandene VPN-Profil und konfigurieren Sie die VMware SD-WAN Site oder die Nicht-SD-WAN-Ziel. Der letzte Schritt besteht darin, einen neuen Edge zu erstellen und zu aktivieren.
| Schritte bei der Schnellstartkonfiguration |
SaaS | Nicht-SD-WAN-Ziel-VPN |
VMware SD-WAN Site-VPN |
|---|---|---|---|
| Schritt 1: Netzwerk | Internetnetzwerk für Schnellstart auswählen | VPN-Netzwerk für Schnellstart auswählen | VPN-Netzwerk für Schnellstart auswählen |
| Schritt 2: Netzwerkdienst | Vorkonfigurierte Netzwerkdienste verwenden | Vorkonfigurierte Netzwerkdienste verwenden | Vorkonfigurierte Netzwerkdienste verwenden |
| Schritt 3: Profil | Internetprofil für Schnellstart auswählen | VPN-Profil für Schnellstart auswählen Cloud-VPN aktivieren und Nicht-SD-WAN-Ziele konfigurieren |
VPN-Profil für Schnellstart auswählen Cloud-VPN aktivieren und VMware SD-WAN Sites konfigurieren |
| Schritt 4: Edge | Neuen Edge hinzufügen und aktivieren | Neuen Edge hinzufügen und aktivieren |
Neuen Edge hinzufügen und aktivieren |
Weitere Informationen finden Sie unter Aktivieren von SD-WAN Edges.
