La red privada virtual (Virtual Private Network, VPN) de nube habilita una conexión VPN de IPSec compatible con VPNC para conectar VMware y Destinos que no son de SD-WAN. También indica la condición de los sitios (estado activo o inactivo) y ofrece el estado en tiempo real de los sitios.
La red VPN de nube es compatible con los siguientes flujos de tráfico:
- Sucursal a destinos que no son de SD-WAN a través de la puerta de enlace
- Sucursal a SD-WAN Hub
- VPN de sucursal a sucursal
- Sucursal a destinos que no son de SD-WAN a través de Edge
En la siguiente figura, se representan las tres sucursales de la red VPN de nube. Los números de la imagen representan cada sucursal y corresponden a las descripciones de la tabla que se muestra a continuación.
Destino que no es de SD-WAN | |
Sucursal a SD-WAN Hub | |
VPN de sucursal a sucursal | |
Sucursal a Destino que no es de SD-WAN | |
Sucursal a Destino que no es de SD-WAN |
Sucursal a destino que no es de SD-WAN a través de la puerta de enlace
Sucursal a destino que no es de SD-WAN a través de la puerta de enlace admite las siguientes configuraciones:
- Conectarse al centro de datos del cliente con el enrutador VPN de firewall existente
- Iaas
- Conectarse a CWS (Zscaler)
Conectarse al centro de datos del cliente con el enrutador VPN de firewall existente
Una conexión VPN entre VMware Gateway y el firewall del centro de datos (cualquier enrutador VPN) proporciona conectividad entre las sucursales (con instancias de Instancias de SD-WAN Edge instaladas) y Destinos que no son de SD-WAN. Esto facilita la inserción, es decir, no es necesario instalar un centro de datos del cliente.
En la siguiente figura, se muestra una configuración de VPN:
Túnel principal | |
Túnel redundante | |
Puerta de enlace VPN secundaria (Secondary VPN Gateway) |
- Check Point
- Cisco ASA
- Cisco ISR
- Enrutador IKEv2 genérico (VPN basada en rutas)
- Hub virtual de Microsoft Azure
- Palo Alto
- SonicWALL
- Zscaler
- Enrutador IKEv1 genérico (VPN basada en rutas)
- Firewall genérico (VPN basada en directivas)
Nota: VMware admite instancias de Destino que no es de SD-WAN de puerta de enlace basadas en directivas y basadas en rutas genéricas.
Para obtener información sobre cómo configurar una opción Sucursal a Destino que no es de SD-WAN a través de SD-WAN Gateway, consulte Configurar destinos que no son de SD-WAN a través de la puerta de enlace.
Iaas
En la configuración con Amazon Web Services (AWS), utilice la opción Firewall genérico (VPN basada en directivas) en el cuadro de diálogo de Destino que no es de SD-WAN.
La configuración con un tercero puede ofrecer las siguientes ventajas:
- Eliminación de malla
- Coste (Cost)
- Rendimiento
La red VPN de nube de VMware es fácil de configurar (las redes globales de Instancias de SD-WAN Gateway eliminan el requisito de túnel de malla a VPC), tiene una directiva centralizada para controlar el acceso a VPC de sucursal, garantiza el rendimiento y protege la conectividad en comparación con la opción tradicional de WAN a VPC.
Para obtener información sobre cómo configurar con Amazon Web Services (AWS), consulte la sección Configurar Amazon Web Services.
Conectarse a CWS (Zscaler)
Zscaler Web Security ofrece seguridad, visibilidad y control. Como una opción distribuida en la nube, Zscaler ofrece seguridad web con funciones como protección contra amenazas, análisis en tiempo real y estudios forenses, entre otras.
La configuración mediante Zscaler ofrece las siguientes ventajas:
- Rendimiento (Performance): directo a Zscaler (Zscaler a través de una puerta de enlace)
- La administración de proxy es compleja (Managing proxy is complex): se ofrece Zscaler con reconocimiento de directiva de un solo clic
Sucursal a SD-WAN Hub
La opción SD-WAN Hub es una instancia de Edge implementada en centros de datos para que las sucursales accedan a los recursos de los centros de datos. Es necesario configurar SD-WAN Hub en SD-WAN Orchestrator. SD-WAN Orchestrator notifica a todas las instancias de Instancias de SD-WAN Edge acerca de los hubs y las instancias de Instancias de SD-WAN Edge crean un túnel seguro de múltiples rutas de superposición a los hubs.
En la siguiente figura, se muestra la compatibilidad con los modos activo-en espera y activo-activo.
VPN de sucursal a sucursal
La opción VPN de sucursal a sucursal admite configuraciones para establecer una conexión VPN entre sucursales con el fin de aumentar el rendimiento y la escalabilidad.
VPN de sucursal a sucursal admite dos configuraciones:
- Puertas de enlace de nube
- Instancias de SD-WAN Hub para VPN
En la siguiente figura, se muestran los flujos de tráfico Sucursal a sucursal para una puerta de enlace de nube y SD-WAN Hub.
También se puede habilitar Conexión VPN dinámica de sucursal a sucursal (Dynamic Branch to Branch VPN) para las puertas de enlace de nube y los hubs.
Es posible acceder a la función VPN de nube de 1 clic en SD-WAN Orchestrator desde la pestaña Configurar (Configure) > Perfiles (Profiles) > Dispositivo (Device) en el área VPN de nube (Cloud VPN).
Sucursal a destino que no es SD-WAN a través de Edge
Sucursal a destino que no es SD-WAN a través de Edge admite las siguientes configuraciones:
- Enrutador IKEv2 genérico (VPN basada en rutas)
- Enrutador IKEv1 genérico (VPN basada en rutas)
Para obtener más información, consulte Configurar un destino que no es de SD-WAN a través de Edge.