Le réseau privé virtuel (Virtual Private Network, VPN) cloud active une connexion VPN IPSec compatible VPNC qui connecte VMware et Non VMware SD-WAN Sites. Il indique également la santé des sites (état actif ou inactif) et l'état en temps réel des sites.

Le VPN cloud prend en charge les flux de trafic suivants :

  • Branche vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations via Gateway)
  • Branche vers SD-WAN Hub
  • VPN branche vers branche
  • Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge)

La figure suivante représente les trois branches du VPN cloud. Les numéros indiqués dans l'image représentent chaque branche et correspondent aux descriptions du tableau suivant.

red-1 Non VMware SD-WAN Site
red-2 Branche vers SD-WAN Hub
red-3 VPN branche vers branche
red-4 Branche vers Non VMware SD-WAN Site
red-5 Branche vers Non VMware SD-WAN Site

Branche vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations via Gateway)

L'option Branche vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations via Gateway)y prend en charge les configurations suivantes :

  • Connexion au centre de données du client avec un routeur VPN de pare-feu existant
  • IaaS
  • Connexion à CWS (Zscaler)

Connexion au centre de données du client avec un routeur VPN de pare-feu existant

Une connexion VPN entre la passerelle VMware et le pare-feu du centre de données (tout routeur VPN) assure la connectivité entre les branches (sur lesquelles un dispositif SD-WAN Edges est installé) et un Non VMware SD-WAN Sites, ce qui facilite l'insertion. En d'autres termes, aucune installation de centre de données client n'est requise.

La figure suivante illustre une configuration VPN :

red-1 Tunnel principal
red-2 Tunnel redondant
red-3 Passerelle VPN secondaire
VMware prend en charge les configurations de Non VMware SD-WAN Site suivantes via SD-WAN Gateway :
  • Point de contrôle
  • Cisco ASA
  • Cisco ISR
  • Routeur IKEv2 générique (VPN basé sur une route)
  • Hub virtuel Microsoft Azure
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Routeur IKEv1 générique (VPN basé sur une route)
  • Pare-feu générique (VPN basé sur la stratégie)
    Note : VMware prend en charge Non VMware SD-WAN Site basé sur une route générique et basé sur la stratégie depuis la passerelle.

Pour plus d'informations sur la configuration d'une branche vers Non VMware SD-WAN Site via SD-WAN Gateway, reportez-vous à la section Configurer des destinations non SD-WAN via une passerelle.

IaaS

Lors de la configuration à l'aide d'Amazon Web Services (AWS), utilisez l'option Pare-feu générique (VPN basé sur la stratégie) [Generic Firewall (Policy Based VPN)] dans la boîte de dialogue Non VMware SD-WAN Site.

La configuration à l'aide d'un tiers peut apporter les avantages suivants :

  • Suppression du maillage
  • Coût
  • Performances

Le VPN cloud de VMware est simple à configurer (les réseaux globaux d'une passerelle SD-WAN Gateways éliminent la nécessité du tunnel de maillage vers les VPC), dispose d'une stratégie centralisée pour contrôler l'accès au VPC de la branche, assure les performances et, enfin, sécurise la connectivité par rapport à la liaison WAN traditionnelle vers le VPC.

Pour plus d'informations sur la configuration à l'aide d'Amazon Web Services (AWS), reportez-vous à la section Configurer Amazon Web Services.

Connexion à CWS (Zscaler)

Zscaler Web Security assure la sécurité, la visibilité et le contrôle. Distribué dans le cloud, Zscaler fournit une sécurité Web dotée de fonctionnalités qui incluent la protection contre les menaces, les analyses en temps réel et les investigations.

La configuration à l'aide de Zscaler offre les avantages suivants :

  • Performances : achemine le trafic directement vers Zscaler (Zscaler via la passerelle)
  • La gestion du proxy est complexe : active la stratégie en un clic prenant en charge Zscaler

Branche vers SD-WAN Hub

Le SD-WAN Hub est un dispositif Edge déployé dans des centres de données qui permet aux branches d'accéder aux ressources de ces derniers. Vous devez configurer votre SD-WAN Hub dans SD-WAN Orchestrator. SD-WAN Orchestrator signale les Hubs à tous les dispositifs SD-WAN Edges et les dispositifs SD-WAN Edges créent un tunnel de superposition sécurisé à chemins multiples vers ces derniers.

La figure suivante montre comment les topologies actif-en veille et actif-actif sont prises en charge.

VPN branche vers branche

Le VPN branche vers branche prend en charge les configurations permettant d'établir une connexion VPN entre les branches pour améliorer les performances et l'évolutivité.

Le VPN branche vers branche prend en charge deux configurations :

  • Passerelles cloud
  • SD-WAN Hubs pour VPN

La figure suivante présente les flux de trafic branche vers branche pour une passerelle cloud et un SD-WAN Hub.

Vous pouvez également activer un VPN branche vers branche dynamique pour les passerelles cloud et les Hubs.

Vous pouvez accéder à la fonctionnalité VPN cloud en un clic dans SD-WAN Orchestrator à partir de l'onglet Configurer (Configure) > Profils (Profiles) > onglet Périphérique (Device) de la zone VPN cloud (Cloud VPN).

Note : Pour obtenir des instructions pas à pas pour configurer le VPN cloud, reportez-vous à la section Configurer le VPN cloud pour les profils.

Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge)

Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge) prend en charge les configurations VPN basées sur une route suivantes :

  • Routeur IKEv2 générique (VPN basé sur une route)
  • Routeur IKEv1 générique (VPN basé sur une route)
Note : VMware ne prend en charge que les configurations de Non VMware SD-WAN Site basées sur une route via un dispositif Edge.

Pour plus d'informations, reportez-vous à la section Configurer des destinations non SD-WAN via un dispositif Edge.