La rete privata virtuale (VPN) cloud consente una connessione VPN IPSec compatibile con VPNC che connette VMware e destinazione non SD-WAN. Indica inoltre lo stato di integrità dei siti (attivo o inattivo) e fornisce informazioni sullo stato dei siti in tempo reale.
VPN cloud supporta i flussi di traffico seguenti:
- Da filiale a destinazione non SD-WAN tramite gateway
- Da filiale a SD-WAN Hub
- VPN da filiale a filiale
- Da filiale a destinazione non SD-WAN tramite Edge
La figura seguente rappresenta tutti e tre i flussi della VPN cloud. I numeri nell'immagine rappresentano ogni flusso e corrispondono alle descrizioni nella tabella che segue.
destinazione non SD-WAN | |
Da filiale a SD-WAN Hub | |
VPN da filiale a filiale | |
Da filiale a destinazione non SD-WAN | |
Da filiale a destinazione non SD-WAN |
Da filiale a Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway)
Da filiale a Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway) supporta le seguenti configurazioni:
- Connessione al data center del cliente con il router VPN del firewall esistente
- IaaS
- Connessione a CWS (Zscaler)
Connessione al data center del cliente con il router VPN del firewall esistente
Una connessione VPN tra il gateway di VMware e il firewall del data center (qualsiasi router VPN) fornisce la connettività tra le filiali (con SD-WAN Edge installato) e destinazione non SD-WAN semplificando l'inserimento. In altre parole, non è necessaria alcuna installazione del data center del cliente.
La figura seguente mostra una configurazione della VPN:
Tunnel primario | |
Tunnel ridondante | |
Gateway VPN secondario (Secondary VPN Gateway) |
- Check Point
- Cisco ASA
- Cisco ISR
- Router IKEv2 generico (VPN basata su route)
- Hub virtuale Microsoft Azure
- Palo Alto
- SonicWALL
- Zscaler
- Router IKEv1 generico (VPN basata su route)
- Firewall generico (VPN basata su criteri)
Nota: VMware supporta un destinazione non SD-WAN generico basato su route o basato su criterio dal gateway.
Per informazioni su come configurare una filiale in destinazione non SD-WAN tramite SD-WAN Gateway, vedere Configurazione di destinazioni non SD-WAN tramite gateway.
IaaS
Quando si esegue la configurazione con Amazon Web Services (AWS), utilizzare l'opzione Firewall generico (VPN basata su criteri) nella finestra di dialogo del destinazione non SD-WAN.
La configurazione con terze parti può essere utile in termini di:
- Eliminazione della mesh
- Costo (Cost)
- Prestazioni
La VPN cloud di VMware è semplice da configurare (le reti globali di SD-WAN Gateway eliminano il requisito del tunnel mesh nei VPC), dispone di un criterio centralizzato per controllare l'accesso a VPC della filiale, garantisce prestazioni ottimali e protegge la connettività rispetto alla rete WAN tradizionale in VPC.
Per informazioni su come eseguire la configurazione utilizzando Amazon Web Services (AWS), vedere la sezione Configurazione di Amazon Web Services.
Connessione a CWS (Zscaler)
La sicurezza Web di Zscaler fornisce sicurezza, visibilità e controllo. Incluso nel cloud, Zscaler offre sicurezza Web con funzionalità che includono protezione dalle minacce, analisi in tempo reale e indagini scientifiche
La configurazione tramite Zscaler offre i vantaggi seguenti:
- Prestazioni: dirette a Zscaler (Zscaler tramite gateway)
- La gestione del proxy è complessa: consente di utilizzare Zscaler sensibile al criterio con un semplice clic
Da filiale a SD-WAN Hub
SD-WAN Hub è un Edge distribuito nei data center per consentire alle filiali di accedere alle risorse dei data center. È necessario configurare SD-WAN Hub in SD-WAN Orchestrator. SD-WAN Orchestrator invia a tutti gli SD-WAN Edge informazioni sugli hub e gli SD-WAN Edge creano un tunnel con percorso multiplo di overlay protetto verso gli hub.
La figura seguente mostra che sono supportati entrambi i tipi attivo-standby e attivo-attivo.
VPN da filiale a filiale
La VPN da filiale a filiale supporta le configurazioni per stabilire una connessione VPN tra le filiali per migliorare le prestazioni e la scalabilità.
La VPN da filiale a filiale supporta due configurazioni:
- Gateway cloud
- SD-WAN Hub per VPN
La figura seguente mostra il flusso di traffico da filiale a filiale per il gateway cloud e per un SD-WAN Hub.
È inoltre possibile attivare VPN dinamica da filiale a filiale (Dynamic Branch to Branch VPN) per i gateway cloud e gli hub.
È possibile accedere alla funzionalità VPN cloud con un clic in SD-WAN Orchestrator dalla scheda Configura (Configure) > Profili (Profiles) > Dispositivo (Device) nell'area VPN Cloud (Cloud VPN).
Da filiale a Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge)
Da filiale a Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge) supporta le seguenti configurazioni VPN basate su route:
- Router IKEv2 generico (VPN basata su route)
- Router IKEv1 generico (VPN basata su route)
Per ulteriori informazioni, vedere Configurazione di destinazioni non SD-WAN tramite Edge.