La rete privata virtuale (VPN) cloud consente una connessione VPN IPSec compatibile con VPNC che connette VMware e destinazione non SD-WAN. Indica inoltre lo stato di integrità dei siti (attivo o inattivo) e fornisce informazioni sullo stato dei siti in tempo reale.

VPN cloud supporta i flussi di traffico seguenti:

  • Da filiale a destinazione non SD-WAN tramite gateway
  • Da filiale a SD-WAN Hub
  • VPN da filiale a filiale
  • Da filiale a destinazione non SD-WAN tramite Edge

La figura seguente rappresenta tutti e tre i flussi della VPN cloud. I numeri nell'immagine rappresentano ogni flusso e corrispondono alle descrizioni nella tabella che segue.

red-1 destinazione non SD-WAN
red-2 Da filiale a SD-WAN Hub
red-3 VPN da filiale a filiale
red-4 Da filiale a destinazione non SD-WAN
red-5 Da filiale a destinazione non SD-WAN

Da filiale a Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway)

Da filiale a Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway) supporta le seguenti configurazioni:

  • Connessione al data center del cliente con il router VPN del firewall esistente
  • IaaS
  • Connessione a CWS (Zscaler)

Connessione al data center del cliente con il router VPN del firewall esistente

Una connessione VPN tra il gateway di VMware e il firewall del data center (qualsiasi router VPN) fornisce la connettività tra le filiali (con SD-WAN Edge installato) e destinazione non SD-WAN semplificando l'inserimento. In altre parole, non è necessaria alcuna installazione del data center del cliente.

La figura seguente mostra una configurazione della VPN:

red-1 Tunnel primario
red-2 Tunnel ridondante
red-3 Gateway VPN secondario (Secondary VPN Gateway)
VMware supporta le seguenti configurazioni di destinazione non SD-WAN tramite SD-WAN Gateway:
  • Check Point
  • Cisco ASA
  • Cisco ISR
  • Router IKEv2 generico (VPN basata su route)
  • Hub virtuale Microsoft Azure
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Router IKEv1 generico (VPN basata su route)
  • Firewall generico (VPN basata su criteri)
    Nota: VMware supporta un destinazione non SD-WAN generico basato su route o basato su criterio dal gateway.

Per informazioni su come configurare una filiale in destinazione non SD-WAN tramite SD-WAN Gateway, vedere Configurazione di destinazioni non SD-WAN tramite gateway.

IaaS

Quando si esegue la configurazione con Amazon Web Services (AWS), utilizzare l'opzione Firewall generico (VPN basata su criteri) nella finestra di dialogo del destinazione non SD-WAN.

La configurazione con terze parti può essere utile in termini di:

  • Eliminazione della mesh
  • Costo (Cost)
  • Prestazioni

La VPN cloud di VMware è semplice da configurare (le reti globali di SD-WAN Gateway eliminano il requisito del tunnel mesh nei VPC), dispone di un criterio centralizzato per controllare l'accesso a VPC della filiale, garantisce prestazioni ottimali e protegge la connettività rispetto alla rete WAN tradizionale in VPC.

Per informazioni su come eseguire la configurazione utilizzando Amazon Web Services (AWS), vedere la sezione Configurazione di Amazon Web Services.

Connessione a CWS (Zscaler)

La sicurezza Web di Zscaler fornisce sicurezza, visibilità e controllo. Incluso nel cloud, Zscaler offre sicurezza Web con funzionalità che includono protezione dalle minacce, analisi in tempo reale e indagini scientifiche

La configurazione tramite Zscaler offre i vantaggi seguenti:

  • Prestazioni: dirette a Zscaler (Zscaler tramite gateway)
  • La gestione del proxy è complessa: consente di utilizzare Zscaler sensibile al criterio con un semplice clic

Da filiale a SD-WAN Hub

SD-WAN Hub è un Edge distribuito nei data center per consentire alle filiali di accedere alle risorse dei data center. È necessario configurare SD-WAN Hub in SASE Orchestrator. SASE Orchestrator invia a tutti gli SD-WAN Edge informazioni sugli hub e gli SD-WAN Edge creano un tunnel con percorso multiplo di overlay protetto verso gli hub.

La figura seguente mostra che sono supportati entrambi i tipi attivo-standby e attivo-attivo.

VPN da filiale a filiale

La VPN da filiale a filiale supporta le configurazioni per stabilire una connessione VPN tra le filiali per migliorare le prestazioni e la scalabilità.

La VPN da filiale a filiale supporta due configurazioni:

  • Gateway cloud
  • SD-WAN Hub per VPN

La figura seguente mostra il flusso di traffico da filiale a filiale per il gateway cloud e per un SD-WAN Hub.

È inoltre possibile attivare VPN dinamica da filiale a filiale (Dynamic Branch to Branch VPN) per i gateway cloud e gli hub.

È possibile accedere alla funzionalità VPN cloud con un clic in SASE Orchestrator dalla scheda Configura (Configure) > Profili (Profiles) > Dispositivo (Device) nell'area VPN Cloud (Cloud VPN).

Nota: Per istruzioni dettagliate sulla configurazione di VPN cloud, vedere Configurazione della VPN cloud per i profili.

Da filiale a Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge)

Da filiale a Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge) supporta le seguenti configurazioni VPN basate su route:

  • Router IKEv2 generico (VPN basata su route)
  • Router IKEv1 generico (VPN basata su route)
Nota: VMware supporta solo le configurazioni del destinazione non SD-WAN basate su route tramite Edge.

Per ulteriori informazioni, vedere Configurazione di destinazioni non SD-WAN tramite Edge.