VMware supporta le seguenti configurazioni di Non VMware SD-WAN Site:

  • Check Point
  • Cisco ASA
  • Cisco ISR
  • Router IKEv2 generico (VPN basata su route)
  • Hub virtuale Microsoft Azure
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Router IKEv1 generico (VPN basata su route)
  • Firewall generico (VPN basata su criteri)
    Nota: VMware ora supporta le configurazioni dei Non VMware SD-WAN Site sia con router IKEv1 generico (VPN basata su router) sia con router IKEv2 generico (VPN basata su route).

Cisco ASA

Cisco ASA è un'altra configurazione di terze parti comune. Di seguito sono elencate le istruzioni sulla configurazione con Cisco ASA in SD-WAN Orchestrator.

Per la configurazione tramite Cisco ASA:

  1. Passare a Configura (Configure) > Servizi di rete (Network Services).
  2. Nell'area Siti non VeloCloud (Non-VeloCloud Sites), fare clic sul pulsante Nuovo (New).

    Viene visualizzata la finestra di dialogo Nuovo sito non VeloCloud (New Non-VeloCloud Site).

    complementary-config-third-party-cisco-asa-new-dialog

  3. Nella finestra di dialogo Nuovo sito non VeloCloud (New Non-VeloCloud Site):
    1. Nella casella di testo Nome (Name) immettere il nome per il Non VMware SD-WAN Site.
    2. Dal menu a discesa Tipo (Type), selezionare Cisco ASA.
    3. Immettere l'indirizzo IP per il gateway VPN primario e fare clic su Avanti (Next).

    Viene creato il Non VMware SD-WAN Site e viene visualizzata una finestra di dialogo per il Non VMware SD-WAN Site.

    complementary-config-third-party-cisco-asa-site-dialog

  4. Nella finestra di dialogo per il Non VMware SD-WAN Site:
    1. Per configurare le impostazioni del tunnel nel gateway VPN primario del Non VMware SD-WAN Site, fare clic sul pulsante Avanzate (Advanced) che si trova nella parte inferiore della finestra di dialogo.
    2. Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:
      Campo Descrizione
      PSK Pre-Shared Key (PSK), che è la chiave di sicurezza per l'autenticazione attraverso il tunnel. Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare la propria chiave PSK o password, è possibile immetterla nella casella di testo.
      Crittografia (Encryption) Selezionare AES 128 o AES 256 come algoritmo per crittografare i dati. Il valore predefinito è AES 128.
      Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. Il valore predefinito è 2.
      PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. Il valore predefinito è 2.
      Nota: Il gateway VPN secondario non è supportato per il tipo di servizio di rete Cisco ASA.
      Nota:

      Per impostazione predefinita, per il Non VMware SD-WAN Site Cisco ASA il valore dell'ID di autenticazione locale utilizzato è l'IP locale dell'interfaccia di SD-WAN Gateway.

    3. Selezionare la casella di controllo VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN) per aggiungere tunnel ridondanti per ogni gateway VPN.

      Tutte le modifiche apportate alla crittografia, al gruppo DH oppure al PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati. Dopo aver modificato le impostazioni del tunnel del gateway VPN primario, salvare le modifiche e quindi fare clic su Visualizza modello IKE/IPSec (View IKE/IPSec Template) per visualizzare la configurazione del tunnel aggiornata.

    4. Fare clic sul link Aggiorna posizione (Update Location) per impostare la posizione del Non VMware SD-WAN Site configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
    5. In Subnet del sito (Site Subnets), è possibile aggiungere subnet per il Non VMware SD-WAN Site facendo clic sul pulsante +.
    6. Utilizzare Subnet di origine personalizzate (Custom Source Subnets) per sostituire le subnet di origine instradate verso questo dispositivo VPN. Le subnet di origine derivano in genere dalle subnet LAN dell'Edge instradate verso questo dispositivo.
    7. Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) quando si è pronti per avviare il tunnel da SD-WAN Gateway ai gateway VPN Cisco ASA.
    8. Fare clic su Salva modifiche (Save Changes).

Cisco ISR

Cisco ISR è una delle configurazioni di terze parti più comuni. Di seguito sono elencate le istruzioni sulla configurazione con Cisco ISR in SD-WAN Orchestrator.

Per la configurazione tramite Cisco ISR:

  1. Passare a Configura (Configure) > Servizi di rete (Network Services).
  2. Nell'area Siti non VeloCloud (Non-VeloCloud Sites), fare clic sul pulsante Nuovo (New).

    Viene visualizzata la finestra di dialogo Nuovo sito non VeloCloud (New Non-VeloCloud Site).

    complementary-config-third-party-datacenter-new-dialog

  3. Nella finestra di dialogo Nuovo sito non VeloCloud (New Non-VeloCloud Site):
    1. Nella casella di testo Nome (Name) immettere il nome per il Non VMware SD-WAN Site.
    2. Dal menu a discesa Tipo (Type), selezionare Cisco ISR.
    3. Immettere l'indirizzo IP per il gateway VPN primario e fare clic su Avanti (Next).

    Viene creato il Non VMware SD-WAN Site e viene visualizzata una finestra di dialogo per il Non VMware SD-WAN Site.

    complementary-config-third-party-site-dialog

  4. Nella finestra di dialogo per il Non VMware SD-WAN Site:
    1. Per configurare le impostazioni del tunnel nel gateway VPN primario del Non VMware SD-WAN Site, fare clic sul pulsante Avanzate (Advanced) che si trova nella parte inferiore della finestra di dialogo.
    2. Configurare le impostazioni del tunnel, ad esempio PSK, crittografia, gruppo DH e PFS, facendo riferimento alla tabella precedente.
    3. Se si desidera creare un gateway VPN secondario per questo sito, fare clic sul pulsante Aggiungi (Add) accanto a Gateway VPN secondario (Secondary VPN Gateway). Nella finestra popup, immettere l'indirizzo IP del gateway VPN secondario e fare clic su Salva modifiche (Save Changes).

      Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.

      Nota:

      Per impostazione predefinita, per il Non VMware SD-WAN Site Cisco ISR il valore dell'ID di autenticazione locale utilizzato è l'IP locale dell'interfaccia di SD-WAN Gateway.

    4. Selezionare la casella di controllo VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN) per aggiungere tunnel ridondanti per ogni gateway VPN.
    5. In Subnet del sito (Site Subnets), è possibile aggiungere subnet per il Non VMware SD-WAN Site facendo clic sul pulsante +.
    6. Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) quando si è pronti per avviare il tunnel da SD-WAN Gateway ai gateway VPN Cisco ISR.
    7. Fare clic su Salva modifiche (Save Changes).

Hub virtuale Microsoft Azure

L'hub virtuale Microsoft Azure è una delle configurazioni di terze parti più comuni. Per istruzioni su come configurare un Non VMware SD-WAN Site di tipo Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub) in SD-WAN Orchestrator, vedere Configurazione di un Non VMware SD-WAN Site di Microsoft Azure.