VMware permite a los usuarios empresariales definir y configurar una instancia de Destino que no es de SD-WAN para establecer un túnel de IPSec seguro con Destino que no es de SD-WAN a través de SD-WAN Gateway.

Orchestrator selecciona la puerta de enlace más cercana para el Destino que no es de SD-WAN con su dirección IP configurada, mediante el servicio de geolocalización.

Solo puede configurar Destino que no es de SD-WAN a través de la puerta de enlace en el nivel de perfil, y no se puede anular en el nivel de SD-WAN Edge.

ECMP

Para optimizar el uso del ancho de banda agregado en las interfaces de entrada de los sitios que no son de SD-WAN, la solución VMware SD-WAN incorpora compatibilidad con el modo activo-activo en sus puertas de enlace.

Esto se puede lograr habilitando el establecimiento de varios túneles de IPsec en modo activo-activo hacia sitios que no son de SD-WAN. Esta configuración permite equilibrar la carga del tráfico de red entre túneles, lo que optimiza el flujo de distribución.

Para implementar el modo activo-activo con varios túneles de IPsec hacia sitios que no son de SD-WAN, se requieren los tres pasos siguientes:

  1. Configure túneles que se conecten a sitios que no son de SD-WAN con el modo de túnel activo-activo.
  2. Elija el algoritmo de equilibrio de carga de su preferencia.
  3. Configure las rutas de subred de sitio estática o BGP que dirigen el tráfico a estos sitios.

Procedimiento

  1. En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Servicios de red (Network Services) y, a continuación, en Destinos que no son de SD-WAN (Non SD-WAN Destinations), expanda Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway).
  2. Haga clic en la opción Nuevo (New) o Nuevo NSD a través de la puerta de enlace (New NSD via Gateway) para crear un nuevo destino que no sea de SD-WAN.
    Nota: La opción Nuevo NSD a través de la puerta de enlace (New NSD via Gateway) aparece solo cuando no hay elementos en la tabla.
    Opción Descripción
    Nombre Escriba un nombre para Destino que no es de SD-WAN en el cuadro de texto.
    Tipo Seleccione un tipo de túnel de IPsec. Las opciones disponibles son:
    Modo de túnel (Tunnel Mode) El modo Activo/En espera en caliente (Active/Hot-Standby) permite configurar un máximo de 2 endpoints de túnel o puertas de enlace.
    El modo Activo/Activo (Active/Active) permite configurar un máximo de 4 endpoints de túnel o puertas de enlace. Todos los túneles activos pueden enviar y recibir tráfico a través de ECMP.
    Método de uso compartido de carga de ECMP Basado en carga de flujo (Flow Load Based) (predeterminado) El algoritmo basado en la carga de flujo asigna el nuevo flujo a la ruta de acceso con el menor número de flujos asignados entre las rutas de acceso disponibles que llevan al destino.
    El algoritmo Basado en carga de hash (Hash Load Based) toma los parámetros de entrada de 5 tuplas (SrcIP, DestIP, SrcPort, DestPort, Protocol). Estas entradas pueden ser cualquiera, todas o cualquier subconjunto de esta tupla en función de la configuración del usuario. El flujo se asigna a la ruta de acceso en función del valor hash con las entradas seleccionadas.
    Puerta de enlace de VPN 1 Introduzca una dirección IP válida.
    Puerta de enlace de VPN 2 Introduzca una dirección IP válida. Este campo es opcional.
    Puerta de enlace de VPN 3 Introduzca una dirección IP válida. Este campo es opcional.
    Puerta de enlace de VPN 4 Introduzca una dirección IP válida. Este campo es opcional.
  3. Haga clic en el botón Crear (Create).
    Se le redirige a una página de opciones de configuración adicional en función del tipo de túnel de IPsec seleccionado. Haga clic en cada uno de los vínculos de la tabla anterior para obtener más información sobre estos tipos de túnel.
  4. A continuación se muestran las diversas opciones disponibles en la sección Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway):
    Opción Descripción
    Eliminar Seleccione un elemento y haga clic en esta opción para eliminarlo.
    Alertas de operador (Operator Alerts) Seleccione un elemento y establezca la alerta de operador en Activado (On) o Desactivado (Off).
    Actualizar alertas Seleccione un elemento y actualice la alerta de operador establecida anteriormente.
    Columnas (Columns) Haga clic y seleccione las columnas que se mostrarán o se ocultarán en la página.
    Nota:
    • También puede acceder a estas opciones haciendo clic en los puntos suspensivos verticales junto al nombre del elemento de la tabla.
    • La opción Editar (Edit) le dirige a la pantalla de opciones de configuración adicionales.
    • Haga clic en el icono de información en la parte superior de la tabla para ver el diagrama de destino conceptual y pase el cursor por el diagrama para obtener más detalles.

    Para editar o configurar BGP, consulte Configurar BGP a través de IPsec desde puertas de enlace.

    Para editar o configurar BFD, consulte Configurar BFD para puertas de enlace.

    Tipo de elemento del mismo nivel que no es de SD-WAN Número de túneles admitidos
    Modo activo/activo Modo activo/de espera en caliente
    Puerta de enlace de VPN de AWS Hasta 4 Hasta 2
    Check Point Hasta 4 Hasta 2
    Cisco ASA 1 (modo no aplicable) 1 (modo no aplicable)
    Cisco ISR Hasta 4 Hasta 2
    Enrutador IKEv2 genérico (VPN basada en rutas) Hasta 4 Hasta 2
    Hub virtual de Microsoft Azure Hasta 2 Hasta 2
    Palo Alto Hasta 4 Hasta 2
    SonicWALL Hasta 4 Hasta 2
    Zscaler Hasta 4 Hasta 2

    Enrutador IKEv1 genérico (VPN basada en rutas)

    Hasta 4 Hasta 2

    Firewall genérico (VPN basada en directivas)

    1 (modo no aplicable) 1 (modo no aplicable)

    Comportamiento de anclaje del flujo

    Los flujos existentes se anclan a la misma ruta de acceso siempre que dicha ruta esté disponible. Estos flujos no se ven afectados durante el cambio de modo o de algoritmo.

Qué hacer a continuación