A partir de la versión 5.3.0, VMware SD-WAN admite la función Security Service Edge (SSE). Esta función permite que VMware SD-WAN se integre fácilmente con un proveedor de SSE de terceros mediante la automatización sin problemas a través de Orchestrator. Puede configurar varias integraciones de SSE con el mismo proveedor.

Los usuarios empresariales ahora pueden configurar Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge) y Suscripción de nube (Cloud Subscription) a través de la función Security Service Edge (SSE). Para obtener información sobre la configuración manual de los servicios de red, consulte Configurar servicios de red.
Nota: Actualmente, solo se admite el servicio de red Destino que no es de SD-WAN a través de Edge (Non SD-WAN Destination via Edge).

La función Security Service Edge (SSE) actualmente es compatible con las suscripciones de PAN Prisma y Symantec. Para un usuario empresarial, la función SSE está activada de forma predeterminada.

Requisitos previos:
  • Para la integración del SSE PAN Prisma, el usuario empresarial primero debe crear perfiles de IKE y de IPsec en el portal de Palo Alto Networks Strata Cloud Manager. Estos perfiles se pueden utilizar para la integración de SSE. Para obtener información sobre cómo configurar los perfiles de IKE y de IPsec en el portal de Palo Alto Networks Strata Cloud Manager, consulte Configuración de Palo Alto Networks Strata Cloud Manager.
  • Para la integración de Symantec, el usuario empresarial primero debe crear el nombre de usuario y la contraseña para una credencial de API configurada en el portal de Symantec Cloud.
Nota: Dado que el establecimiento del túnel es una operación asincrónica, la configuración automatizada de Security Service Edge (SSE) puede tardar entre 5 y 30 minutos en completarse por túnel de vínculo WAN. Este retraso se debe a PAN Prisma.

Antes de crear una Integración de SSE (SSE Integration), primero debe crearse una Suscripción de SSE (SSE Subscription).

Suscripciones de SSE

Para ver o crear una suscripción de SSE, siga los pasos que se indican a continuación:
  1. En el servicio SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Security Service Edge (SSE).
  2. Haga clic en la pestaña Suscripciones de SSE (SSE Subscriptions) en la página de destino de Security Service Edge (SSE). Se mostrará la pantalla siguiente:
  3. En cada mosaico, haga clic en Ver (View) para ver los detalles de la suscripción existente. Haga clic en los puntos suspensivos verticales y, a continuación, haga clic en Eliminar (Delete) para eliminar una suscripción.
  4. Para crear una nueva suscripción, haga clic en + Nueva suscripción de SSE (+ New SSE Subscription).
  5. Se mostrará la ventana Configurar suscripción de SSE (Configure SSE Subscription). Debe introducir un Nombre (Name) para la suscripción y seleccionar un Tipo de suscripción (Subscription Type) en el menú desplegable. Los campos que se muestran en la pantalla varían según el Tipo de suscripción (Subscription Type) seleccionado.
    La siguiente imagen y tabla son para el tipo de suscripción Prisma Access.
    Opción Descripción
    Identificador de TSG (Tsg Id) Introduzca el ID. Este valor debe ser un entero positivo.
    Nombre de usuario (User Name) Introduzca el nombre de usuario de la cuenta de servicio tal y como está configurado en Palo Alto Networks Strata Cloud Manager.
    Contraseña (Password) Introduzca la contraseña de la cuenta de servicio tal y como está configurada en Palo Alto Networks Strata Cloud Manager.
    Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.
    Dominio (Domain) Introduzca el dominio de su empresa. Ejemplo: vmware.com
    Nota: Este campo es obligatorio para la creación de FQDN de IPSec.
    Nota: Los campos ID de TSG (Tsg Id), Nombre de usuario (User Name) y Contraseña (Password) deben coincidir con los valores configurados en el portal de Palo Alto Networks Strata Cloud Manager.
    La imagen y la tabla que aparecen a continuación son para el tipo de suscripción Symantec.
    Opción Descripción
    Nombre de usuario (User Name) Introduzca un nombre de usuario.
    Contraseña (Password) Introduzca una contraseña.
    Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.
    Tipo de nube Actualmente, este campo muestra Prod, que es el valor predeterminado.
  6. Haga clic en Validar suscripción (Validate Subscription) para asegurarse de que las credenciales introducidas sean correctas y, a continuación, haga clic en Guardar (Save) para guardar la suscripción configurada.

Integración de SSE

Para ver o crear una integración de SSE, siga los pasos que se indican a continuación:
  1. En el servicio SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Security Service Edge (SSE). De forma predeterminada, se muestra la pestaña Integraciones de SSE (SSE Integrations).
  2. Para crear una nueva integración de SSE, haga clic en + Nueva suscripción de SSE (+ New SSE Subscription). Se muestra la pantalla siguiente:
  3. En la sección Elegir suscripción de nube (Choose Cloud Subscription), configure las siguientes opciones:
    Opción Descripción
    Tipo de suscripción (Subscription Type) Seleccione un tipo de suscripción para el que desea configurar una integración de SSE. Las opciones disponibles son:
    • Prisma Access
    • Symantec (vista previa técnica)
    Suscripción de nube (Cloud Subscription) Seleccione una suscripción de nube en el menú desplegable.

    Solo aparecen en el menú desplegable las suscripciones de nube que están configuradas en el proveedor de SSE seleccionado en Tipo de suscripción (Subscription Type).

    Estas suscripciones de nube se rellenan en función de las configuraciones de Configurar (Configure) > Security Service Edge (SSE) > Suscripciones de SSE (SSE Subscriptions).
  4. Haga clic en Próximo paso (Next Step) para activar la siguiente sección.
  5. Los campos que se muestran en la sección Crear servicio de red (Create Network Service) varían en función del Tipo de suscripción (Subscription Type) seleccionado.
    La siguiente imagen y tabla son para el tipo de suscripción Prisma Access:
    Opción Descripción
    Nombre del servicio (Service Name) Introduzca un nombre de servicio único.
    Ancho de banda mínimo por túnel (Mbps) (Minimum Bandwidth per Tunnel (Mbps)) Introduzca el ancho de banda necesario. El valor predeterminado es 2.
    Protocolo de túnel (Tunneling Protocol) De forma predeterminada, el protocolo de túnel IPsec está seleccionado. Debe seleccionar el Perfil de cifrado de IPsec (IPsec Crypto Profile) y el Perfil de cifrado de IKE (IKE Crypto Profile) en los menús desplegables correspondientes. Estos menús desplegables se rellenan en función de los perfiles creados en el portal de Palo Alto Networks Strata Cloud Manager.
    La siguiente imagen y tabla son para el tipo de suscripción Symantec:
    Opción Descripción
    Nombre del servicio (Service Name) Introduzca un nombre de servicio único.
    Protocolo de túnel (Tunneling Protocol) Este campo está establecido en IPsec, que es el único protocolo admitido.
  6. Haga clic en Crear y continuar (Create and Continue) para activar la siguiente sección.
  7. En la sección Seleccionar perfil/instancias de Edge (Select Profile/Edges), configure las siguientes opciones:
    Opción Descripción
    Seleccionar perfil (Select Profile) Seleccione un perfil de SD- WAN Edge en el menú desplegable.
    Seleccionar segmento (Select Segment) Seleccione un segmento en el menú desplegable. De forma predeterminada, la opción Segmento global (Global Segment) se encuentra seleccionada.
    Nota: Solo puede seleccionar un segmento para la suscripción Prisma, mientras que se pueden seleccionar varios segmentos para la suscripción Symantec.
  8. Una vez que se selecciona Perfil (Profile) y Segmento (Segment), se rellena automáticamente una lista de las instancias de Edge asociadas con el perfil seleccionado. Seleccione una o varias instancias de Edge para las que desea aplicar la integración de SSE.
  9. Si una instancia de Edge tiene más de dos vínculos WAN, los dos primeros vínculos WAN se rellenan automáticamente en la tabla. Puede seleccionar los vínculos WAN que desea utilizar para la automatización.
  10. Haga clic en Validar configuración de túnel (Validate Tunnel Configuration). Si alguno de los centros de datos se sobrescribe, se muestra una advertencia.
    Nota: El botón Validar configuración de túnel (Validate Tunnel Configuration) solo está disponible para el tipo de suscripción Prisma Access. En la implementación de Prisma, debe adquirir una licencia para agregar capacidad de ancho de banda en un centro de datos. Esta licencia restringe el rendimiento máximo, por lo que se muestra una advertencia.
  11. Una vez validada la configuración del túnel, haga clic en Guardar y finalizar (Save and Finish). La integración de SSE recién creada aparece en la lista de la página de destino de Security Service Edge (SSE).
  12. Si desea editar la integración de SSE existente, seleccione la integración de SSE en la lista y haga clic en Editar (Edit). También puede hacer clic en el vínculo del nombre de la integración de SSE para editarlo.
  13. Para eliminar la integración de SSE, seleccione la integración de SSE en la lista y haga clic en Eliminar (Delete).
    Nota: No se pueden eliminar las integraciones de SSE que utilizan actualmente las instancias de Edge.
  14. Para supervisar el estado de la automatización, haga clic en el vínculo Ver (View) de la columna Estado de implementación de Tunnel (Tunnel Deployment Status). Se mostrará la pantalla siguiente:

    Las acciones createOrUpdateEdgeConfiguration y deleteEdgeConfiguration indican la automatización de SSE para actualizar la configuración del dispositivo Edge de Orchestrator. Las otras acciones son para automatizaciones de terceros.

    Nota: También puede supervisar el estado de implementación de SSE en las pantallas Supervisar (Monitor) > Eventos (Events) y Supervisar (Monitor) > Servicios de red (Network Services) > Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge). Para obtener más información, consulte Supervisar eventos y Supervisar servicios de red.
  15. Para comprobar si los túneles están activos, vaya a Supervisar (Monitor) > Instancias de Edge (Edges) y desplace el ratón por debajo de la columna Túneles de Edge (Edge Tunnels). Puede ver los detalles como se muestra a continuación:

Pasos siguientes:

Asocie la suscripción de Security Service Edge a una instancia de Edge. Para obtener más información, consulte Configurar parámetros de túnel y VPN de nube para instancias de Edge.

Para dirigir el tráfico de red a una nube empresarial específica, desplácese hasta Configurar (Configure) > Instancias de Edge (Edges) > Directiva empresarial (Business Policy). Haga clic en + Agregar (+ Add) para agregar una nueva regla. Para obtener más información, consulte Crear regla de directiva empresarial.