Das Cloud-VPN (Virtual Private Network) ermöglicht eine VPNC-konforme IPsec-VPN-Verbindung, die VMware und Nicht-SD-WAN-Ziele miteinander verbindet. Es zeigt außerdem die Integrität der Sites an (aktiv oder inaktiv) und liefert den Echtzeitstatus der Sites.
Cloud-VPN unterstützt die folgenden Datenverkehrsströme:
- Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway
- Zweigstelle-zu-SD-WAN Hub
- Zweigstelle-zu-Zweigstelle-VPN
- Zweigstelle-zu-Nicht-SD-WAN-Ziel über Edge
Die folgende Abbildung stellt alle drei Zweige des Cloud-VPN dar. Die Zahlen in der Abbildung repräsentieren jede Zweigstelle und entsprechen den Beschreibungen in der folgenden Tabelle.
Nicht-SD-WAN-Ziel | |
Zweigstelle-zu-SD-WAN Hub | |
Zweigstelle-zu-Zweigstelle-VPN | |
Zweigstelle-zu-Nicht-SD-WAN-Ziel | |
Zweigstelle-zu-Nicht-SD-WAN-Ziel |
Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway)
Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway) unterstützt die folgenden Konfigurationen:
- Verbindung mit Kundendatencenter mit vorhandenem Firewall-VPN-Router
- Iaas
- Verbindung mit CWS (Zscaler)
Verbindung mit Kundendatencenter mit vorhandenem Firewall-VPN-Router
Eine VPN-Verbindung zwischen dem VMware-Gateway und der Datencenter-Firewall (beliebiger VPN-Router) bietet Konnektivität zwischen den Zweigstellen (mit SD-WAN Edges installiert) und Nicht-SD-WAN-Ziele, was wiederum zu einer einfachen Implementierung führt. Dies bedeutet, dass keine Installation des Kundendatencenters erforderlich ist.
Die folgende Abbildung zeigt eine VPN-Konfiguration:
Primärer Tunnel | |
Redundanter Tunnel | |
Sekundäres VPN-Gateway (Secondary VPN Gateway) |
- Check Point
- Cisco ASA
- Cisco ISR
- Generischer IKEv2-Router (routenbasiertes VPN)
- Microsoft Azure Virtual Hub
- Palo Alto
- SonicWALL
- Zscaler
- Generischer IKEv1-Router (routenbasiertes VPN)
- Generische Firewall (richtlinienbasiertes VPN)
Hinweis: VMware unterstützt sowohl die generische routenbasierte als auch die richtlinienbasierte Nicht-SD-WAN-Ziel aus Gateway.
Informationen zum Konfigurieren einer Zweigstelle-zu-Nicht-SD-WAN-Ziel über SD-WAN Gateway finden Sie unter Konfigurieren von Nicht-SD-WAN-Zielen über Gateway.
Iaas
Verwenden Sie beim Konfigurieren mit Amazon Web Services (AWS) die Option „Generische Firewall (richtlinienbasiertes VPN) (Generic Firewall (Policy Based VPN))“ im Dialogfeld „Nicht-SD-WAN-Ziel“.
Die Konfiguration mit einer Drittpartei kann Ihnen auf folgende Weise Vorteile bringen:
- Eliminiert Mesh
- Kosten (Cost)
- Leistung
Ein VMware-Cloud-VPN ist im Vergleich zu einem herkömmlichen WAN zu VPC einfach einzurichten (globale Netzwerke von SD-WAN Gateways eliminieren die Mesh-Tunnel-Anforderung an VPCs), es verfügt über eine zentrale Richtlinie zur Kontrolle des VPC-Zugriffs von Zweigstellen, gewährleistet die Leistung und sichert die Konnektivität.
Informationen zur Konfiguration mithilfe von Amazon Web Services (AWS) finden Sie im Abschnitt Konfigurieren von Amazon Web Services.
Verbindung mit CWS (Zscaler)
Zscaler Web Security bietet Sicherheit, Sichtbarkeit und Kontrolle. Zscaler wird in der Cloud bereitgestellt und bietet Websicherheit mit Funktionen wie Bedrohungsschutz, Echtzeit-Analyse und Forensik.
Die Konfiguration mithilfe von Zscaler bietet die folgenden Vorteile:
- Leistung: Direkt zu Zscaler (Zscaler über Gateway)
- Die Proxy-Verwaltung ist komplex: Ermöglicht Zscaler mit einfacher Klick-Richtlinie
Zweigstelle-zu-SD-WAN Hub
Der SD-WAN Hub ist ein Edge, der in Datencentern eingesetzt wird, damit Zweigstellen auf die Ressourcen von Datencentern zugreifen können. Sie müssen Ihren SD-WAN Hub auf der SASE Orchestrator-Instanz einrichten. Die SASE Orchestrator-Instanz benachrichtigt alle SD-WAN Edges-Instanzen über die Hubs, und die SD-WAN Edges-Instanzen erstellen sichere Overlay-Tunnel mit mehreren Pfaden zu den Hubs.
Die folgende Abbildung zeigt, wie sowohl „Aktiv-Standby“ als auch „Aktiv-Aktiv“ unterstützt werden.
Zweigstelle-zu-Zweigstelle-VPN
Das Zweigstelle-zu-Zweigstelle-VPN unterstützt Konfigurationen für das Herstellen einer VPN-Verbindung zwischen Zweigstellen zur Verbesserung der Leistung und Skalierbarkeit.
Das Zweigstelle-zu-Zweigstelle-VPN unterstützt zwei Konfigurationen:
- Cloud-Gateways
- SD-WAN Hubs für VPN
Die folgende Abbildung zeigt die Zweigstelle-zu-Zweigstelle-Datenverkehrsströme sowohl für Cloud-Gateway als auch für einen SD-WAN Hub.
Sie können auch Dynamisches Zweigstelle-zu-Zweigstelle-VPN (Dynamic Branch to Branch VPN) für die Cloud-Gateways und Hubs aktivieren.
Sie können auch auf die Funktion „Cloud-VPN mit einem Klick (1-click Cloud VPN)“ zugreifen, indem Sie in SASE Orchestrator die Option Konfigurieren (Configure) > Profile (Profiles) > Registerkarte „Gerät“ (Device Tab) im Bereich Cloud-VPN (Cloud VPN) auswählen.
Zweigstelle-zu-Nicht-SD-WAN-Ziel-über Edge (Non SD-WAN Destination via Edge)
Zweigstelle-zu-Nicht-SD-WAN-Ziel-über Edge (Non SD-WAN Destination via Edge) unterstützt die folgenden routenbasierten VPN-Konfigurationen:
- Generischer IKEv2-Router (routenbasiertes VPN)
- Generischer IKEv1-Router (routenbasiertes VPN)
Weitere Informationen finden Sie unter Konfigurieren eines Nicht-SD-WAN-Ziels über Edge.