La rete privata virtuale (VPN) cloud abilita una connessione VPN IPSec compatibile con VPNC che connette VMware e Non VMware SD-WAN Sites. Indica inoltre lo stato di integrità dei siti (attivo o inattivo) e fornisce informazioni sullo stato dei siti in tempo reale.

VPN cloud supporta i flussi di traffico seguenti:

  • Da filiale a destinazione non SD-WAN tramite gateway
  • Da filiale a SD-WAN Hub
  • VPN da filiale a filiale
  • Da filiale a destinazione non SD-WAN tramite Edge

La figura seguente rappresenta tutti e tre i flussi della VPN cloud. I numeri nell'immagine rappresentano ogni flusso e corrispondono alle descrizioni nella tabella che segue.

red-1 Non VMware SD-WAN Site
red-2 Da filiale a SD-WAN Hub
red-3 VPN da filiale a filiale
red-4 Da filiale a Non VMware SD-WAN Site
red-5 Da filiale a Non VMware SD-WAN Site

Da filiale a Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway)

Da filiale a Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway) supporta le seguenti configurazioni:

  • Connessione al data center del cliente con il router VPN del firewall esistente
  • IaaS
  • Connessione a CWS (Zscaler)

Connessione al data center del cliente con il router VPN del firewall esistente

Una connessione VPN tra il gateway di VMware e il firewall del data center (qualsiasi router VPN) fornisce la connettività tra le filiali (con SD-WAN Edges installato) e Non VMware SD-WAN Sites semplificando l'inserimento. In altre parole, non è necessaria alcuna installazione del data center del cliente.

La figura seguente mostra una configurazione della VPN:

red-1 Tunnel primario
red-2 Tunnel ridondante
red-3 Gateway VPN secondario
VMware supporta le seguenti configurazioni di Non VMware SD-WAN Site tramite SD-WAN Gateway:
  • Check Point
  • Cisco ASA
  • Cisco ISR
  • Router IKEv2 generico (VPN basata su route)
  • Hub virtuale Microsoft Azure
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Router IKEv1 generico (VPN basata su route)
  • Firewall generico (VPN basata su criteri)
    Nota: VMware supporta un Non VMware SD-WAN Site generico basato su route o basato su criterio dal gateway.

Per informazioni su come configurare una filiale in Non VMware SD-WAN Site tramite SD-WAN Gateway, vedere Configurazione di destinazioni non SD-WAN tramite gateway.

IaaS

Quando si esegue la configurazione con Amazon Web Services (AWS), utilizzare l'opzione Firewall generico (VPN basata su criteri) nella finestra di dialogo del Non VMware SD-WAN Site.

La configurazione con terze parti può essere utile in termini di:

  • Eliminazione della mesh
  • Costi
  • Prestazioni

La VPN cloud di VMware è semplice da configurare (le reti globali di SD-WAN Gateways eliminano il requisito del tunnel mesh nei VPC), dispone di un criterio centralizzato per controllare l'accesso a VPC della filiale, garantisce prestazioni ottimali e protegge la connettività rispetto alla rete WAN tradizionale in VPC.

Per informazioni su come eseguire la configurazione utilizzando Amazon Web Services (AWS), vedere la sezione Configurazione di Amazon Web Services.

Connessione a CWS (Zscaler)

La sicurezza Web di Zscaler fornisce sicurezza, visibilità e controllo. Incluso nel cloud, Zscaler offre sicurezza Web con funzionalità che includono protezione dalle minacce, analisi in tempo reale e indagini scientifiche

La configurazione tramite Zscaler offre i vantaggi seguenti:

  • Prestazioni: dirette a Zscaler (Zscaler tramite gateway)
  • La gestione del proxy è complessa: consente di utilizzare Zscaler sensibile al criterio con un semplice clic

Da filiale a SD-WAN Hub

SD-WAN Hub è un Edge distribuito nei data center per consentire alle filiali di accedere alle risorse dei data center. È necessario configurare SD-WAN Hub in SD-WAN Orchestrator. SD-WAN Orchestrator invia a tutti gli SD-WAN Edges informazioni sugli hub e gli SD-WAN Edges creano un tunnel con percorso multiplo di overlay protetto verso gli hub.

La figura seguente mostra che sono supportati entrambi i tipi attivo-standby e attivo-attivo.

VPN da filiale a filiale

La VPN da filiale a filiale supporta le configurazioni per stabilire una connessione VPN tra le filiali per migliorare le prestazioni e la scalabilità.

La VPN da filiale a filiale supporta due configurazioni:

  • Gateway cloud
  • SD-WAN Hubs per VPN

La figura seguente mostra il flusso di traffico da filiale a filiale per il gateway cloud e per un SD-WAN Hub.

È inoltre possibile abilitare la VPN dinamica da filiale a filiale per i gateway cloud e gli hub.

È possibile accedere alla funzionalità VPN cloud con un clic in SD-WAN Orchestrator dalla scheda Configura (Configure) > Profili (Profiles) > Dispositivo (Device) nell'area VPN Cloud (Cloud VPN).

Nota: Per istruzioni dettagliate sulla configurazione di VPN cloud, vedere Configurazione della VPN cloud per i profili.

Da filiale a Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge)

Da filiale a Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge) supporta le seguenti configurazioni VPN basate su route:

  • Router IKEv2 generico (VPN basata su route)
  • Router IKEv1 generico (VPN basata su route)
Nota: VMware supporta solo le configurazioni del Non VMware SD-WAN Site basate su route tramite Edge.

Per ulteriori informazioni, vedere Configurazione di destinazioni non SD-WAN tramite Edge.