Ein Edge mit ausschließlich privaten MPLS-Links kann den Orchestrator und die Gateways in der Public Cloud über die Option „SD-WAN-Dienst erreichbar (SD-WAN Service Reachable)“ erreichen.

In einer Site ohne direkten öffentlichen Internetzugang ermöglicht die Option „SD-WAN-Dienst erreichbar (SD-WAN Service Reachable)“ die Nutzung des privaten WAN für private Site-zu-Site-VCMP-Tunnel und als Pfad für die Kommunikation mit einem im Internet gehosteten VMware-Dienst.

Bei hybriden Umgebungen, die über Links vom Typ „Nur MPLS“ verfügen oder ein Failover zu MPLS-Links erfordern, können Sie die Option „SD-WAN-Dienst erreichbar (SD-WAN Service Reachable)“ aktivieren.
Vorsicht: Sie sollten vorsichtig sein, wenn Sie „SD-WAN-Erreichbarkeit (SD-WAN Reachable)“ aktivieren. Diese Funktion bedeutet, dass der Edge sowohl mit dem Orchestrator als auch mit den Gateways über diesen Link verbunden werden kann. Wenn Sie sie jedoch auf einem privaten WAN-Link verwenden, der nicht über diese Verbindung verfügt, kann dies zwei Probleme verursachen:
  1. Wenn es sich bei dem Edge um einen Hub handelt und Spoke-Edges diesen Hub-Edge als Internet-Breakout verwenden, werden ihre Tunnel zum Gateway möglicherweise nicht angezeigt, da der Hub-Edge diese Flows möglicherweise zurück aus dem privaten Link weiterleitet.
  2. Ein Edge mit dieser falschen Einstellung wird im Orchestrator möglicherweise offline angezeigt. Dies liegt daran, dass möglicherweise versucht wird, den privaten Link zu verwenden, um den Orchestrator zu kontaktieren.

Nur-MPLS-Sites

VMware unterstützt private WAN-Bereitstellungen mit einem gehosteten VMware-Dienst für Kunden mit hybriden Umgebungen, die auf Sites mit nur einem privaten WAN-Link bereitstellen.

In einer Site ohne öffentliche Overlays kann das private WAN als primäres Kommunikationsmittel mit dem VMware-Dienst genutzt werden, einschließlich der folgenden Einstellungen:

  • Erreichbarkeit des SD-WAN-Diensts über private Verbindung aktiviert
  • NTP-Überschreibung mithilfe privater NTP-Server aktiviert

Die folgende Abbildung zeigt einen regionalen Hub mit Internetverbindung und SD-WAN Edge ausschließlich mit MPLS-Verbindung.

Der Datenverkehr vom SD-WAN Edge mit Links vom Typ „Nur MPLS“ wird zum Orchestrator und Gateway über einen regionalen Hub geleitet, der einen Breakout in die Public Cloud durchführen kann. Die Option „SD-WAN-Dienst erreichbar (SD-WAN Service Reachable)“ ermöglicht es dem Edge, online und über den Orchestrator verwaltbar zu bleiben, und lässt eine öffentliche Internetverbindung über das Gateway zu, unabhängig davon, ob es eine öffentliche Link-Konnektivität gibt.

Dynamisches Failover über MPLS

Wenn alle öffentlichen Internetverbindungen ausfallen, können Sie wichtigen Internetdatenverkehr per Failover zu einem privaten WAN-Link verlagern. Die folgende Abbildung veranschaulicht die Resilienz von SASE Orchestrator und Nicht-SD-WAN-Ziel, Zscaler.

  • Orchestrator-Resilienz: Der Orchestrator stellt eine Verbindung zum Internet her. Wenn das Internet ausfällt, stellt der Orchestrator eine Verbindung über MPLS her. Die Orchestrator-Verbindung wird mithilfe der IP-Adresse eingerichtet, die über MPLS annonciert wird. Die Verbindung nutzt die öffentliche Internetverbindung im regionalen Hub.
  • Zscaler-Resilienz: Die Zscaler-Verbindung wird über das Internet eingerichtet. Wenn die öffentliche Verbindung ausfällt, stellt Zscaler die Verbindung über MPLS her.

Konfigurieren von „SD-WAN-Dienst erreichbar“

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges. Auf der Seite Edges werden die vorhandenen Edges angezeigt.
  2. Klicken Sie auf den Link zu einem Edge oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Erweitern Sie in der Kategorie Konnektivität (Connectivity) die Option Schnittstellen (Interfaces).
  4. Die verschiedenen Arten von Schnittstellen für den ausgewählten Edge werden angezeigt. Klicken Sie auf den Link zu einer Schnittstelle, die mit dem MPLS-Link verbunden ist.
  5. Aktivieren Sie im Fenster Schnittstelle (Interface) das Kontrollkästchen Überschreiben (Override) und wählen Sie im Dropdown-Menü WAN-Link (WAN Link) die Option Benutzerdefiniert (User defined) aus. Klicken Sie anschließend auf Speichern (Save).
    Hinweis: Die Option SD-WAN-Dienst erreichbar (SD-WAN Service Reachable) ist nur für ein Netzwerk vom Typ Benutzerdefiniert (User Defined) verfügbar.
  6. Klicken Sie im Abschnitt Konfiguration des WAN-Links (WAN Link Configuration) auf die mit dem WAN-Link Benutzerdefiniert (User Defined) aktivierte Schnittstelle. Das Fenster Benutzerdefinierter WAN-Link (User Defined WAN Link) wird geöffnet.
  7. Aktivieren Sie im Fenster Benutzerdefinierter WAN-Link (User Defined WAN Link) das Kontrollkästchen SD-WAN-Dienst erreichbar (SD-WAN Service Reachable), um Sites bereitzustellen, die nur über einen privaten WAN-Link verfügen und/oder die Möglichkeit bieten, ein Failover von kritischem Netzwerkverkehr zu einem privaten WAN-Link durchzuführen.

    Wenn Sie das Kontrollkästchen SD-WAN-Dienst erreichbar (SD-WAN Service Reachable) aktivieren, wird eine Liste der öffentlichen IP-Adressen von SD-WAN Gateways und SASE Orchestrator angezeigt, die möglicherweise über das private Netzwerk annonciert werden müssen, wenn noch keine Standardroute über das gleiche private Netzwerk von der Firewall annonciert wurde.

    Wenn Sie das Kontrollkästchen Sicherung für „SD-WAN-Dienst erreichbar“ (SD-WAN Service Reachable Backup) aktivieren, wird der private erreichbare SD-WAN-Link als Sicherungslink verwendet, wenn öffentliche WAN-Overlays vorhanden sind. Wenn diese Option deaktiviert ist, wird der private Link als aktiver Link verwendet.

  8. Konfigurieren Sie die übrigen Optionen nach Bedarf und klicken Sie auf Link aktualisieren (Update Link), um die Einstellungen zu speichern.

Weitere Informationen zu den anderen Optionen im Fenster WAN-Overlay (WAN Overlay) finden Sie unter Konfigurieren der Einstellungen für Edge-WAN-Overlay.