Le réseau privé virtuel (Virtual Private Network, VPN) cloud autorise une connexion VPN IPSec compatible VPNC qui connecte VMware et Destinations non-SD-WAN. Il indique également la santé des sites (état actif ou inactif) et l'état en temps réel des sites.

Le VPN cloud prend en charge les flux de trafic suivants :

  • Site distant vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations via Gateway)
  • Site distant vers SD-WAN Hub
  • VPN site distant vers site distant
  • Site distant vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge)

La figure suivante représente les trois sites distants du VPN cloud. Les numéros indiqués dans l'image représentent chaque site distant et correspondent aux descriptions du tableau suivant.

red-1 Destination non-SD-WAN
red-2 Site distant vers SD-WAN Hub
red-3 VPN site distant vers site distant
red-4 Site distant vers Destination non-SD-WAN
red-5 Site distant vers Destination non-SD-WAN

Site distant vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations via Gateway)

L'option Site distant vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations via Gateway)y prend en charge les configurations suivantes :

  • Connexion au centre de données du client avec un routeur VPN de pare-feu existant
  • IaaS
  • Connexion à CWS (Zscaler)

Connexion au centre de données du client avec un routeur VPN de pare-feu existant

Une connexion VPN entre la passerelle VMware et le pare-feu du centre de données (tout routeur VPN) assure la connectivité entre les sites distants (sur lesquelles un dispositif Dispositifs SD-WAN Edge est installé) et un Destinations non-SD-WAN, ce qui facilite l'insertion. En d'autres termes, aucune installation de centre de données client n'est requise.

La figure suivante illustre une configuration VPN :

red-1 Tunnel principal
red-2 Tunnel redondant
red-3 Passerelle VPN secondaire (Secondary VPN Gateway)
VMware prend en charge les configurations de Destination non-SD-WAN suivantes via SD-WAN Gateway :
  • Point de contrôle
  • Cisco ASA
  • Cisco ISR
  • Routeur IKEv2 générique (VPN basé sur une route)
  • Hub virtuel Microsoft Azure
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Routeur IKEv1 générique (VPN basé sur une route)
  • Pare-feu générique (VPN basé sur la stratégie)
    Note : VMware prend en charge Destination non-SD-WAN basé sur une route générique et basé sur la stratégie depuis la passerelle.

Pour plus d'informations sur la configuration d'un site distant vers Destination non-SD-WAN via SD-WAN Gateway, reportez-vous à la section Configurer les destinations non-SD-WAN via une passerelle.

IaaS

Lors de la configuration à l'aide d'Amazon Web Services (AWS), utilisez l'option Pare-feu générique (VPN basé sur la stratégie) [Generic Firewall (Policy Based VPN)] dans la boîte de dialogue Destination non-SD-WAN.

La configuration à l'aide d'un tiers peut apporter les avantages suivants :

  • Suppression du maillage
  • Coût
  • Performances

Le VPN cloud de VMware est simple à configurer (les réseaux globaux d'une passerelle Passerelles SD-WAN Gateway éliminent la nécessité du tunnel de maillage vers les VPC), dispose d'une stratégie centralisée pour contrôler l'accès au VPC du site distant, assure les performances et, enfin, sécurise la connectivité par rapport à la liaison WAN traditionnelle vers le VPC.

Pour plus d'informations sur la configuration à l'aide d'Amazon Web Services (AWS), reportez-vous à la section Configurer Amazon Web Services.

Connexion à CWS (Zscaler)

Zscaler Web Security assure la sécurité, la visibilité et le contrôle. Distribué dans le cloud, Zscaler fournit une sécurité Web dotée de fonctionnalités qui incluent la protection contre les menaces, les analyses en temps réel et les investigations.

La configuration à l'aide de Zscaler offre les avantages suivants :

  • Performances : achemine le trafic directement vers Zscaler (Zscaler via la passerelle)
  • La gestion du proxy est complexe : autorise la stratégie en un clic prenant en charge Zscaler

Site distant vers SD-WAN Hub

Le SD-WAN Hub est un dispositif Edge déployé dans des centres de données qui permet aux sites distants d'accéder aux ressources de ces derniers. Vous devez configurer votre SD-WAN Hub dans SASE Orchestrator. SASE Orchestrator signale les Hubs à tous les dispositifs Dispositifs SD-WAN Edge et les dispositifs Dispositifs SD-WAN Edge créent un tunnel de superposition sécurisé à chemins multiples vers ces derniers.

La figure suivante montre comment les topologies actif-en veille et actif-actif sont prises en charge.

VPN site distant vers site distant

Le VPN site distant vers site distant prend en charge les configurations permettant d'établir une connexion VPN entre les sites distants pour améliorer les performances et l'évolutivité.

Le VPN site distant vers site distant prend en charge deux configurations :

  • Passerelles cloud
  • Instances de SD-WAN Hub pour VPN

La figure suivante présente les flux de trafic site distant vers site distant pour une passerelle cloud et un SD-WAN Hub.

Vous pouvez également activer VPN dynamique site distant vers site distant (Dynamic Branch to Branch VPN) pour les passerelles cloud et les Hubs.

Vous pouvez accéder à la fonctionnalité VPN cloud en un clic dans SASE Orchestrator à partir de l'onglet Configurer (Configure) > Profils (Profiles) > onglet Périphérique (Device) de la zone VPN cloud (Cloud VPN).

Note : Pour obtenir des instructions pas à pas pour configurer le VPN cloud, reportez-vous à la section Configurer le VPN cloud pour les profils.

Site distant vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge)

Site distant vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge) prend en charge les configurations VPN basées sur une route suivantes :

  • Routeur IKEv2 générique (VPN basé sur une route)
  • Routeur IKEv1 générique (VPN basé sur une route)
Note : VMware ne prend en charge que les configurations de Destination non-SD-WAN basées sur une route via un dispositif Edge.

Pour plus d'informations, reportez-vous à la section Configurer les destinations non-SD-WAN via un dispositif Edge.