Cette section décrit les concepts clés et les configurations principales de SASE Orchestrator.

Configurations

Le service VMware dispose de quatre configurations de base qui comportent une relation hiérarchique. Créez ces configurations dans SASE Orchestrator.

Le tableau suivant fournit une présentation des configurations :

Configuration Description
Réseau (Network) Définit les configurations réseau de base, telles que l'adressage IP et les VLAN. Les réseaux peuvent être désignés comme d'entreprise ou invités, et il peut y avoir plusieurs définitions pour chaque réseau.
Services réseau (Network Services) Définissez plusieurs services communs utilisés par le service VMware, par exemple les sites de backhaul, les Hubs VPN de cloud, les instances de Destinations non-SD-WAN, les services de proxy de cloud, les services DNS et les services d'authentification.
Profil (Profile) Définit une configuration de modèle qui peut être appliquée à plusieurs dispositifs Edge. Un profil est configuré en sélectionnant un réseau et des services réseau. Un profil peut être appliqué à un ou plusieurs modèles d'Edge et définit les paramètres pour les interfaces LAN, Internet, LAN sans fil et Edge du WAN. Les profils peuvent également fournir des paramètres de configuration pour la radio Wi-Fi, SNMP, NetFlow, les stratégies d'entreprise et le pare-feu.
Dispositif Edge (Edge) Les configurations fournissent un groupe complet de paramètres pouvant être téléchargés sur un dispositif Edge. La configuration d'un dispositif Edge est un composite de paramètres d'un profil sélectionné, d'un réseau sélectionné et de services réseau. Une configuration de dispositif Edge peut également remplacer les paramètres ou ajouter des stratégies classées à celles définies dans le profil, le réseau et les services réseau.

L'image suivante montre une présentation détaillée des relations et des paramètres de configuration de plusieurs dispositifs Edge, profils, réseaux et services réseau.

Vous pouvez attribuer un même profil à plusieurs dispositifs Edge. Vous pouvez utiliser une configuration réseau individuelle dans plusieurs profils. Les configurations des services réseau sont utilisées dans tous les profils.

Réseaux (Networks)

Les réseaux sont des configurations standard qui définissent les espaces d'adresses réseau et les affectations VLAN pour les dispositifs Edge. Vous pouvez configurer les types de réseau suivants :
  • Des réseaux d'entreprise ou approuvés, qui peuvent être configurés avec des adresses qui se chevauchent ou pas.
  • Des réseaux invités ou non approuvés, qui utilisent toujours des adresses qui se chevauchent.

Vous pouvez définir plusieurs réseaux d'entreprise et invités et attribuer des VLAN aux deux types de réseaux.

Avec le chevauchement d'adresses, tous les dispositifs Edge utilisant le réseau qui disposent du même espace d'adresses. Un chevauchement d'adresses est associé à des configurations non-VPN.

Avec des adresses qui ne se chevauchent pas, un espace d'adresses est divisé en blocs d'un nombre égal d'adresses. Les adresses qui ne se chevauchent pas sont associées à des configurations VPN. Les blocs d'adresses sont attribués aux dispositifs Edge qui utilisent le réseau de sorte que chaque dispositif Edge dispose d'un ensemble unique d'adresses. Des adresses qui ne se chevauchent pas sont requises pour la communication des VPN entre deux dispositifs Edge (Edge-to-Edge) et entre le Dispositif Edge (Edge) et Destination non-SD-WAN. La configuration de VMware crée les informations nécessaires pour accéder à une passerelle de centre de données d'entreprise pour l'accès VPN. Un administrateur de la passerelle de centre de données d'entreprise utilise les informations de configuration IPSec générées lors de la configuration VPN Destination non-SD-WAN pour configurer le tunnel VPN sur Destination non-SD-WAN.

L'image suivante montre comment les blocs d'adresses IP uniques d'une configuration réseau sont attribués à SD-WAN Edge.

Note : Lorsque vous utilisez des adresses qui ne se chevauchent pas, SASE Orchestrator alloue automatiquement les blocs d'adresses aux dispositifs Edge. L'allocation se produit en fonction du nombre maximal de dispositifs Edge qui peuvent utiliser la configuration réseau.

Services réseau (Network Services)

Vous pouvez définir vos propres services de réseau d'entreprise et les utiliser dans tous les profils. Cela comprend les services d'authentification, le proxy de cloud, les instances de Destinations non-SD-WAN et DNS. Les services réseau définis sont utilisés uniquement lorsqu'ils sont attribués à un profil.

Profils (Profiles)

Un profil est une configuration nommée qui définit une liste de VLAN, des paramètres de VPN de cloud, des paramètres d'interfaces filaires et sans fil et des services réseau tels que les paramètres DNS, les paramètres d'authentification, les paramètres de proxy de cloud et les connexions VPN aux instances de Destinations non-SD-WAN. Vous pouvez définir une configuration standard pour une ou plusieurs instances de Dispositifs SD-WAN Edge à l'aide des profils.

Les profils fournissent des paramètres VPN de cloud pour les dispositifs Edge configurés pour le VPN. Les paramètres VPN cloud peuvent activer ou désactiver les connexions VPN entre deux dispositifs Edge et entre un dispositif Edge et Destination non-SD-WAN.

Les profils peuvent également définir des règles et une configuration pour les stratégies d'entreprise et les paramètres de pare-feu.

Dispositifs Edge (Edges)

Vous pouvez attribuer un profil à un dispositif Edge pour qu'il en dérive la plupart de sa configuration.

Vous pouvez utiliser la plupart des paramètres définis dans un profil, un réseau ou des services réseau dans une configuration Edge, sans les modifier. Toutefois, vous pouvez remplacer les paramètres des éléments de configuration du dispositif Edge pour l'adapter à un scénario spécifique.  Cela comprend des paramètres pour les interfaces, les paramètres radio Wi-Fi, le DNS, l'authentification, la Business Policy et le pare-feu.

En outre, vous pouvez configurer un dispositif Edge pour augmenter les paramètres absents de la configuration du profil ou du réseau. Cela comprend l'adressage du sous-réseau, les paramètres de route statique et les règles de pare-feu entrantes pour le transfert de ports et la NAT 1:1.

Workflow de configuration d'Orchestrator

VMware prend en charge plusieurs scénarios de configuration. Le tableau suivant répertorie certains des scénarios les plus courants :

Scénario Description
SaaS Utilisé pour les dispositifs Edge qui ne nécessitent aucune connexion VPN entre eux ou avec un Destination non-SD-WAN ou un VMware SD-WAN Site. Le workflow suppose que l'adressage du réseau d'entreprise utilise des adresses qui se chevauchent.
Destination non-SD-WAN via VPN Utilisé pour les dispositifs Edge qui nécessitent des connexions VPN avec un Destination non-SD-WAN, tel qu'Amazon Web services, Zscaler, Cisco ISR ou ASR série 1000. Le workflow suppose que l'adressage du réseau d'entreprise utilise des adresses qui ne se chevauchent pas et que les Destinations non-SD-WAN sont définis dans le profil.
VPN VMware SD-WAN Site Utilisé pour les dispositifs Edge qui nécessitent des connexions VPN à une instance de VMware SD-WAN Site telle qu'un Hub Edge ou un Hub VPN de cloud. Le workflow suppose que l'adressage du réseau d'entreprise utilise des adresses qui ne se chevauchent pas et que les Instances de VMware SD-WAN Site sont définis dans le profil.

Pour chaque scénario, effectuez les configurations dans SASE Orchestrator dans l'ordre suivant :

Étape 1 : Réseau

Étape 2 : Services réseau

Étape 3 : Profil

Étape 4 : Dispositif Edge

Le tableau suivant fournit un plan général de la configuration de démarrage rapide pour chacun des workflows. Vous pouvez utiliser le réseau, les services réseau et les configurations de profil préconfigurés pour les configurations de démarrage rapide. Pour les configurations VPN, modifiez le profil VPN existant et configurez les instances de VMware SD-WAN Site ou de Destination non-SD-WAN. La dernière étape consiste à créer un dispositif Edge et à l'activer.

Étapes de configuration de démarrage rapide

SaaS

VPN Destination non-SD-WAN

VPN VMware SD-WAN Site

Étape 1 : Réseau Sélectionner le réseau Internet à démarrage rapide Sélectionner le réseau VPN à démarrage rapide Sélectionner le réseau VPN à démarrage rapide
Étape 2 : Services réseau Utiliser les services réseau préconfigurés Utiliser les services réseau préconfigurés Utiliser les services réseau préconfigurés
Étape 3 : Profil Sélectionner le profil Internet à démarrage rapide

Sélectionner le profil VPN à démarrage rapide

Activer le VPN cloud et configurer Destinations non-SD-WAN

Sélectionner le profil VPN à démarrage rapide

Activer le VPN cloud et configurer Instances de VMware SD-WAN Site

Étape 4 : Dispositif Edge Ajouter un nouveau dispositif Edge et l'activer

Ajouter un nouveau dispositif Edge et l'activer

Ajouter un nouveau dispositif Edge et l'activer

Pour plus d'informations, reportez-vous à la section Activer les Dispositifs SD-WAN Edge.