VMware ermöglicht es Enterprise-Benutzern, eine Nicht-SD-WAN-Ziel-Instanz zu definieren und zu konfigurieren und einen sicheren IPSec-Tunnel über ein SD-WAN Gateway zu einer Nicht-SD-WAN-Ziel einzurichten.

Der Orchestrator wählt das nächstgelegene Gateway für Nicht-SD-WAN-Ziel mit der zugehörigen konfigurierten IP-Adresse unter Verwendung des Geolocation-Diensts aus.

Sie können Nicht-SD-WAN-Ziel über Gateway nur auf der Profilebene konfigurieren und keine Überschreibungen auf SD-WAN Edge-Ebene durchführen.

ECMP

Um die Nutzung der aggregierten Bandbreite über die Ingress-Schnittstellen von Nicht-SDWAN-Sites hinweg zu optimieren, bietet die VMware SD-WAN-Lösung Unterstützung für den Aktiv/Aktiv-Modus in den Gateways.

Diese Optimierung kann erreicht werden, indem die Einrichtung mehrerer IPsec-Tunnel im Aktiv/Aktiv-Modus für Nicht-SDWAN-Sites aktiviert wird. Diese Konfiguration ermöglicht tunnelübergreifenden Lastausgleich des Netzwerkdatenverkehrs, wodurch der Verteilungsfluss optimiert wird.

Um den Aktiv/Aktiv-Modus mit mehreren IPsec-Tunneln zu Nicht-SDWAN-Sites zu implementieren, müssen die folgenden drei Schritte durchgeführt werden:

  1. Einrichten von Tunneln, die eine Verbindung zu Nicht-SDWAN-Sites mit dem Tunnelmodus „Active-Active (Aktiv/Aktiv)“ herstellen.
  2. Auswählen des bevorzugten Lastausgleichsalgorithmus.
  3. Konfigurieren von Subnetzrouten für BGP oder statische Sites, um den Datenverkehr an diese Sites zu leiten.

Prozedur

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) und erweitern Sie dann unter Nicht-SD-WAN-Ziele (Non SD-WAN Destinations) die Option Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway).
  2. Klicken Sie auf Neu (New) oder Neuer NSD über Gateway (New NSD via Gateway), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
    Hinweis: Die Option Neuer NSD über Gateway (New NSD via Gateway) wird nur angezeigt, wenn in der Tabelle keine Elemente vorhanden sind.
    Option Beschreibung
    Name Geben Sie einen Namen für Nicht-SD-WAN-Ziel in das Textfeld ein.
    Typ (Type) Wählen Sie einen IPsec-Tunneltyp aus. Verfügbare Optionen:
    Tunnelmodus (Tunnel Mode) Der Modus Aktiv/Hot-Standby (Active/Hot-Standby) unterstützt die Einrichtung von maximal 2 Tunnel-Endpoints oder Gateways.
    Der Modus Aktiv/Aktiv (Active/Active) unterstützt die Einrichtung von maximal 4 Tunnel-Endpoints oder Gateways. Alle aktiven Tunnel können Datenverkehr über ECMP senden und empfangen.
    ECMP Methode zur Lastverteilung Auf Flow-Last basierend (Flow Load Based) (Standardeinstellung) Der auf Flow-Last basierende Algorithmus ordnet den neuen Flow dem Pfad zu, der unter den verfügbaren Pfaden zum Ziel die geringste Anzahl an Flows aufweist.
    Auf Hash-Last basierend (Hash Load Based) Der Algorithmus übernimmt Eingabeparameter aus 5-Tupeln (SrcIP, DestIP, SrcPort, DestPort, Protocol). Bei diesen Eingaben kann es sich je nach Benutzerkonfiguration um eine beliebige oder die Gesamtmenge oder um eine Teilmenge dieses Tupels handeln. Der Flow wird dem Pfad basierend auf dem Hash-Wert mit ausgewählten Eingaben zugeordnet.
    VPN-Gateway 1 Geben Sie eine gültige IP-Adresse ein.
    VPN-Gateway 2 Geben Sie eine gültige IP-Adresse ein. Dieses Feld ist optional.
    VPN-Gateway 3 Geben Sie eine gültige IP-Adresse ein. Dieses Feld ist optional.
    VPN-Gateway 4 Geben Sie eine gültige IP-Adresse ein. Dieses Feld ist optional.
  3. Klicken Sie auf die Schaltfläche Erstellen (Create).
    Sie werden basierend auf dem ausgewählten IPsec-Tunneltyp zu einer Seite mit zusätzlichen Konfigurationsoptionen weitergeleitet. Klicken Sie auf jeden der Links in der obigen Tabelle, um weitere Informationen zu diesen Tunneltypen zu finden.
  4. Im Folgenden finden Sie die verschiedenen Optionen im Abschnitt Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway):
    Option Beschreibung
    Löschen (Delete) Wählen Sie ein Element aus und klicken Sie auf diese Option, um es zu löschen.
    Operator-Alarme (Operator Alerts) Wählen Sie ein Element aus und legen Sie den Operator-Alarm auf Ein (On) oder Aus (Off) fest.
    Alarme aktualisieren Wählen Sie ein Element aus und aktualisieren Sie den zuvor festgelegten Operator-Alarm.
    Spalten (Columns) Wählen Sie mit einem Klick die Spalten aus, die auf der Seite angezeigt oder ausgeblendet werden sollen.
    Hinweis:
    • Sie können auch auf diese Optionen zugreifen, indem Sie auf die vertikale Ellipse neben dem Elementnamen in der Tabelle klicken.
    • Die Option Bearbeiten (Edit) führt Sie zum Bildschirm mit den zusätzlichen Konfigurationseinstellungen.
    • Klicken Sie auf das Informationssymbol oben in der Tabelle, um das konzeptionelle Zieldiagramm anzuzeigen, und bewegen Sie dann den Mauszeiger über das Diagramm, um weitere Details zu erhalten.

    Informationen zum Bearbeiten oder Konfigurieren von BGP finden Sie unter Konfigurieren von BGP über IPSec von Gateways.

    Informationen zum Bearbeiten oder Konfigurieren von BFD finden Sie unter Konfigurieren von BFD für Gateways.

    Nicht-SD-WAN-Peer-Typ Anzahl der zulässigen Tunnel
    Aktiv/Aktiv-Modus (Active/Active Mode) Aktiv/Hot-Standby-Modus (Active/Hot Standby Mode)
    AWS-VPN-Gateway maximal 4 maximal 2
    Check Point maximal 4 maximal 2
    Cisco ASA 1 (Modus nicht anwendbar) 1 (Modus nicht anwendbar)
    Cisco ISR maximal 4 maximal 2
    Generischer IKEv2-Router (routenbasiertes VPN) maximal 4 maximal 2
    Microsoft Azure Virtual Hub maximal 2 maximal 2
    Palo Alto maximal 4 maximal 2
    SonicWALL maximal 4 maximal 2
    Zscaler maximal 4 maximal 2

    Generischer IKEv1-Router (routenbasiertes VPN)

    		 maximal 4 maximal 2

    Generische Firewall (richtlinienbasiertes VPN)

    		 1 (Modus nicht anwendbar) 1 (Modus nicht anwendbar)

    Flow-Pinning-Verhalten (Flow Pinning Behavior)

    Vorhandene Flows werden an denselben Pfad gebunden, solange der Pfad/die Route verfügbar ist. Diese Flows sind von der Modus- oder Algorithmusänderung nicht betroffen.

Nächste Maßnahme