Ab Version 5.3.0 unterstützt VMware SD-WAN die SSE-Funktion (Security Service Edge). Diese Funktion ermöglicht VMware SD-WAN die einfache Integration mit einem SSE-Drittanbieter mithilfe einer nahtlosen Automatisierung über den Orchestrator. Sie können mehrere SSE-Integrationen mit demselben Anbieter konfigurieren.

Enterprise-Benutzer können jetzt Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) und Cloud Subscription mithilfe der Funktion Security Service Edge (SSE) konfigurieren. Informationen zur manuellen Konfiguration von Netzwerkdiensten finden Sie unter Konfigurieren von Netzwerkdiensten.
Hinweis: Derzeit wird nur der Netzwerkdienst Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge) unterstützt.

Die Funktion Security Service Edge (SSE) unterstützt aktuell die Abonnements PAN Prisma und Symantec. Für einen Enterprise-Benutzer ist die SSE-Funktion standardmäßig aktiviert.

Voraussetzungen:
  • Für die SSE-Integration PAN Prisma muss der Enterprise-Benutzer zuerst Profile vom Typ IKE und IPsec im Palo Alto Networks Strata Cloud Manager-Portal erstellen. Diese Profile können dann für die SSE-Integration verwendet werden. Informationen zum Konfigurieren von IKE- und IPsec-Profilen im Palo Alto Networks Strata Cloud Manager-Portal finden Sie unter Konfiguration von Palo Alto Networks Strata Cloud Manager.
  • Für die Integration von Symantec muss der Enterprise-Benutzer zunächst einen Benutzernamen und ein Kennwort für API-Anmeldedaten erstellen, die im Symantec Cloud-Portal konfiguriert sind.
Hinweis: Da es sich bei der Tunneleinrichtung um einen asynchronen Vorgang handelt, kann die Automatische SSE-Konfiguration (Security Service Edge) 5 bis 30 Minuten pro WAN-Link-Tunnel in Anspruch nehmen. Diese Zeitverzögerung ist auf PAN Prisma zurückzuführen.

Vor der SSE-Integration (SSE Integration) müssen Sie zuerst ein SSE-Abonnement (SSE Subscription) erstellen.

SSE-Abonnements

Führen Sie die folgenden Schritte aus, um ein SSE-Abonnement anzuzeigen oder zu erstellen:
  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Security Service Edge (SSE).
  2. Klicken Sie auf die Registerkarte SSE-Abonnements (SSE Subscriptions) auf der Zielseite mit der Bezeichnung Security Service Edge (SSE). Der folgende Bildschirm wird angezeigt:
  3. Klicken Sie in jeder Kachel auf Ansicht (View), um die Details des vorhandenen Abonnements anzuzeigen. Klicken Sie auf die vertikalen Auslassungspunkte und dann auf Löschen (Delete), um ein Abonnement zu löschen.
  4. Klicken Sie zum Erstellen eines neuen Abonnements auf + Neues SSE-Abonnement (+ New SSE Subscription).
  5. Das Fenster SSE-Abonnement konfigurieren (Configure SSE Subscription) wird angezeigt. Sie müssen unter Name einen Namen für das Abonnement eingeben und im Dropdown-Menü einen Abonnementtyp (Subscription Type) auswählen. Die auf dem Bildschirm angezeigten Felder variieren je nach ausgewähltem Abonnementtyp (Subscription Type).
    Die folgende Abbildung und Tabelle gelten für den Abonnementtyp Prisma Access.
    Option Beschreibung
    Tsg Id Geben Sie die ID ein. Dieser Wert muss eine positive Ganzzahl sein.
    Benutzername (User Name) Geben Sie den Benutzernamen des Dienstkontos ein, der im Palo Alto Networks Strata Cloud Manager konfiguriert ist.
    Kennwort (Password) Geben Sie das Kennwort des Dienstkontos ein, das im Palo Alto Networks Strata Cloud Manager konfiguriert ist.
    Hinweis: Ab Version 4.5 wird die Verwendung des Sonderzeichens „<“ im Kennwort nicht mehr unterstützt. Wenn Benutzer das Sonderzeichen „<“ bereits in früheren Versionen in ihren Kennwörtern verwendet haben, muss es entfernt werden, um Änderungen an der Seite speichern zu können.
    Domäne (Domain) Geben Sie Ihre Unternehmensdomäne ein. Beispiel: vmware.com
    Hinweis: Dieses Feld ist für die Erstellung des IPSec-FQDN erforderlich.
    Hinweis: Die Felder TSG-ID (Tsg ld), Benutzername (User name) und Kennwort (Password) müssen mit den im Palo Alto Networks Strata Cloud Manager-Portal konfigurierten Werten übereinstimmen.
    Die folgende Abbildung und Tabelle gelten für den Abonnementtyp Symantec.
    Option Beschreibung
    Benutzername (User Name) Geben Sie einen Benutzernamen ein.
    Kennwort (Password) Geben Sie ein Kennwort ein.
    Hinweis: Ab Version 4.5 wird die Verwendung des Sonderzeichens „<“ im Kennwort nicht mehr unterstützt. Wenn Benutzer das Sonderzeichen „<“ bereits in früheren Versionen in ihren Kennwörtern verwendet haben, muss es entfernt werden, um Änderungen an der Seite speichern zu können.
    Cloud-Typ Aktuell wird der Standardwert Prod in diesem Feld angezeigt.
  6. Klicken Sie auf Abonnement validieren (Validate Subscription), um sicherzustellen, dass die eingegebenen Anmeldedaten korrekt sind, und klicken Sie dann auf Speichern (Save), um das konfigurierte Abonnement zu speichern.

SSE-Integration

Führen Sie die folgenden Schritte aus, um eine SSE-Integration anzuzeigen oder zu erstellen:
  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Security Service Edge (SSE). Standardmäßig wird die Registerkarte SSE-Integrationen (SSE Integrations) angezeigt.
  2. Klicken Sie zum Erstellen einer neuen SSE-Integration auf + Neue SSE-Integration (+ New SSE Integration). Der folgende Bildschirm wird angezeigt:
  3. Konfigurieren Sie im Abschnitt Cloud Subscription wählen (Choose Cloud Subscription) die folgenden Optionen:
    Option Beschreibung
    Abonnementtyp (Subscription Type) Wählen Sie einen Abonnementtyp aus, für den Sie eine SSE-Integration einrichten möchten. Verfügbare Optionen:
    • Prisma Access
    • Symantec (Tech Preview)
    Cloud Subscription Wählen Sie eine Cloud Subscription aus dem Dropdown-Menü aus.

    Nur die Cloud Subscriptions, die unter dem in Abonnementtyp (Subscription Type) ausgewählten SSE-Anbieter konfiguriert sind, werden im Dropdown-Menü angezeigt.

    Diese Cloud Subscription werden basierend auf den Konfigurationen unter Konfigurieren (Configure) > Security Service Edge (SSE) > SSE-Abonnements (SSE Subscriptions) aufgefüllt.
  4. Klicken Sie auf Nächster Schritt (Next Step), um den nächsten Abschnitt zu aktivieren.
  5. Die im Abschnitt Netzwerkdienst erstellen (Create Network Service) angezeigten Felder variieren je nach ausgewähltem Abonnementtyp (Subscription Type).
    Die folgende Abbildung und Tabelle gelten für den Abonnementtyp Prisma Access:
    Option Beschreibung
    Dienstname (Service Name) Geben Sie einen eindeutigen Dienstnamen ein.
    Mindestbandbreite pro Tunnel (MBit/s) (Minimum Bandwidth per Tunnel (Mbps)) Geben Sie die erforderliche Bandbreite ein. Der Standardwert ist 2.
    Tunnelprotokoll (Tunneling Protocol) Standardmäßig ist das IPsec-Tunnelprotokoll ausgewählt. Sie müssen das IPsec-Verschlüsselungsprofil (IPsec Crypto Profile) und das IKE-Verschlüsselungsprofil (IKE Crypto Profile) aus den jeweiligen Dropdown-Menüs auswählen. Diese Dropdown-Menüs werden basierend auf den im Palo Alto Networks Strata Cloud Manager-Portal erstellten Profilen aufgefüllt.
    Die folgende Abbildung und Tabelle gelten für den Abonnementtyp Symantec:
    Option Beschreibung
    Dienstname (Service Name) Geben Sie einen eindeutigen Dienstnamen ein.
    Tunnelprotokoll (Tunneling Protocol) Dieses Feld ist auf IPsec festgelegt. Bei IPsec handelt es sich um das einzige unterstützte Protokoll.
  6. Klicken Sie auf Erstellen und fortfahren (Create and Continue), um den nächsten Abschnitt zu aktivieren.
  7. Konfigurieren Sie im Abschnitt Profil/Edges auswählen (Select Profile/Edges) die folgenden Optionen:
    Option Beschreibung
    Profil auswählen (Select Profile) Wählen Sie im Dropdown-Menü ein SD-WAN-Edge-Profil aus.
    Segment auswählen (Select Segment) Wählen Sie ein Segment aus dem Dropdown-Menü aus. Standardmäßig ist Globales Segment (Global Segment) ausgewählt.
    Hinweis: Sie können nur ein Segment für das Prisma-Abonnement auswählen, während mehrere Segmente für das Symantec-Abonnement ausgewählt werden können.
  8. Sobald Sie „Profil (Profile)“ und „Segment“ auswählen, wird eine Liste der mit dem ausgewählten Profil verknüpften Edges automatisch befüllt. Wählen Sie einen oder mehrere Edges aus, für die Sie die SSE-Integration anwenden möchten.
  9. Wenn ein Edge über mehr als zwei WAN-Links verfügt, werden die ersten beiden WAN-Links automatisch in der Tabelle aufgefüllt. Sie können die WAN-Links auswählen, die Sie für die Automatisierung verwenden möchten.
  10. Klicken Sie auf Konfiguration des Tunnels validieren (Validate Tunnel Configuration). Eine Warnung wird angezeigt, wenn eines der Datencenter zu viele Abonnements aufweist.
    Hinweis: Die Schaltfläche Konfiguration des Tunnels validieren (Validate Tunnel Configuration) ist nur für den Abonnementtyp Prisma Access verfügbar. In der Prisma-Bereitstellung müssen Sie eine Lizenz erwerben, um Bandbreitenkapazität in einem Datencenter hinzuzufügen. Diese Lizenz schränkt den maximalen Durchsatz ein und zeigt somit eine Warnung an.
  11. Klicken Sie nach der Validierung der Tunnelkonfiguration auf Speichern und beenden (Save and Finish). Die neu erstellte SSE-Integration wird in der Liste auf der Zielseite des Security Service Edge (SSE) angezeigt.
  12. Wenn Sie die vorhandene SSE-Integration bearbeiten möchten, wählen Sie die SSE-Integration in der Liste aus und klicken Sie auf Bearbeiten (Edit). Sie können auch auf den Link für den Namen der SSE-Integration klicken, um ihn zu bearbeiten.
  13. Um die SSE-Integration zu löschen, wählen Sie die SSE-Integration in der Liste aus und klicken Sie auf Löschen (Delete).
    Hinweis: Sie können keine SSE-Integrationen löschen, die derzeit von Edges verwendet werden.
  14. Klicken Sie zum Überwachen des Automatisierungsstatus auf den Link Ansicht (View) in der Spalte Status der Tunnelbereitstellung (Tunnel Automatisierung Status). Der folgende Bildschirm wird angezeigt:

    Mit den Aktionen createOrUpdateEdgeConfiguration und deleteEdgeConfiguration wird die SSE-Automatisierung zum Aktualisieren der Orchestrator Edge-Geräteeinstellungen angeben. Die anderen Aktionen gelten für Automatisierungen von Drittanbietern.

    Hinweis: Sie können den SSE-Bereitstellungsstatus auch auf den Bildschirmen Überwachen (Monitor) > Ereignisse (Events) und Überwachen (Monitor) > Netzwerkdienste (Network Services) > Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) überwachen. Weitere Informationen finden Sie unter Überwachen von Ereignissen und Überwachen von Netzwerkdiensten.
  15. Um sicherzustellen, dass die Tunnel aktiviert sind, wechseln Sie zu Überwachen (Monitor) > Edges und bewegen Sie den Mauszeiger unter der Spalte Edge-Tunnel (Edge Tunnel). Sie können die unten angegebenen Details anzeigen:

Nächste Schritte:

Ordnen Sie das Security Service Edge-Abonnement einem Edge zu. Weitere Informationen finden Sie unter Konfigurieren von Cloud-VPN und Tunnelparametern für Edges.

Zum Weiterleiten des Netzwerkdatenverkehrs an eine bestimmte Unternehmens-Cloud navigieren Sie zu Konfigurieren (Configure) > Edges > Business Policy. Klicken Sie auf + Hinzufügen (+ Add), um eine neue Regel hinzuzufügen. Weitere Informationen finden Sie unter Erstellen einer Business Policy-Regel.