A partire dalla versione 5.3.0, VMware SD-WAN supporta la funzionalità Security Service Edge (SSE). Questa funzionalità consente a VMware SD-WAN di integrarsi facilmente con un fornitore SSE di terze parti utilizzando l'automazione senza soluzione di continuità tramite Orchestrator. È possibile configurare più integrazioni di SSE con lo stesso fornitore.

Gli utenti aziendali possono ora configurare Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge) e Sottoscrizione cloud (Cloud Subscription) tramite la funzionalità Security Service Edge (SSE). Per la configurazione manuale dei servizi di rete, vedere Configurazione dei servizi di rete.
Nota: Al momento è supportato solo il servizio di rete Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge).

La funzionalità Security Service Edge (SSE) supporta attualmente le sottoscrizioni PAN Prisma e Symantec. Per un utente aziendale, la funzionalità SSE è attivata per impostazione predefinita.

Prerequisiti:
  • Per l'integrazione SSE di PAN Prisma, l'utente aziendale deve innanzitutto creare i profili IKE e IPSec nel portale Palo Alto Networks Strata Cloud Manager. Questi profili possono quindi essere utilizzati per l'integrazione SSE. Per informazioni su come configurare i profili IKE e IPSec nel portale Palo Alto Networks Strata Cloud Manager, vedere Configurazione di Palo Alto Networks Strata Cloud Manager.
  • Per l'integrazione di Symantec, l'utente aziendale deve innanzitutto creare nome utente e password per le credenziali API configurate nel portale Symantec Cloud.
Nota: Poiché la creazione del tunnel è un'operazione asincrona, il completamento della configurazione automatica di Security Service Edge (SSE) potrebbe richiedere da 5 a 30 minuti per ogni tunnel del link WAN. Questo ritardo è dovuto a PAN Prisma.

Prima di creare un'Integrazione SSE (SSE Integration), è innanzitutto necessario creare una Sottoscrizione SSE (SSE Subscription).

Sottoscrizioni SSE

Per visualizzare o creare una sottoscrizione SSE, eseguire i passaggi seguenti:
  1. Nel servizio SD-WAN del portale dell'azienda, fare clic su Configura (Configure) > Security Service Edge (SSE).
  2. Fare clic sulla scheda Sottoscrizioni SSE (SSE Subscriptions) nella pagina di destinazione Security Service Edge (SSE). Viene visualizzata la schermata seguente:
  3. In ogni riquadro, fare clic su Visualizza (View) per visualizzare i dettagli della sottoscrizione esistente. Fare clic sui puntini di sospensione verticali e quindi su Elimina (Delete) per eliminare una sottoscrizione.
  4. Per creare una nuova sottoscrizione, fare clic su + Nuova sottoscrizione SSE (New SSE Subscription).
  5. Viene visualizzata la finestra Configurazione della sottoscrizione SSE (Configure SSE Subscription). È necessario immettere un Nome (Name) per la sottoscrizione e selezionare un Tipo di sottoscrizione (Subscription Type) dal menu a discesa. I campi visualizzati nella schermata variano in base al Tipo di sottoscrizione (Subscription Type) selezionato.
    L'immagine e la tabella seguenti sono relative al tipo di sottoscrizione Prisma Access.
    Opzione Descrizione
    ID tsg (Tsg Id) Immettere l'ID. Il valore deve essere un numero intero positivo.
    Nome utente (User Name) Immettere un nome utente.
    Password Immettere una password.
    Nota: A partire dalla versione 4.5, l'uso del carattere speciale "<" nella password non è più supportato. Se gli utenti hanno già utilizzato "<" nelle loro password nelle versioni precedenti, devono rimuoverlo per salvare le modifiche nella pagina.
    Dominio (Domain) Immettere il dominio della propria azienda. Esempio: vmware.com
    Nota: Questo campo è obbligatorio per la creazione del nome di dominio completo IPSec.
    Nota: I campi ID tsg (Tsg Id), Nome utente (User Name) e Password devono corrispondere ai valori configurati nel portale Palo Alto Networks Strata Cloud Manager.
    L'immagine e la tabella seguenti illustrano il tipo di sottoscrizione Symantec.
    Opzione Descrizione
    Nome utente (User Name) Immettere un nome utente.
    Password Immettere una password.
    Nota: A partire dalla versione 4.5, l'uso del carattere speciale "<" nella password non è più supportato. Se gli utenti hanno già utilizzato "<" nelle loro password nelle versioni precedenti, devono rimuoverlo per salvare le modifiche nella pagina.
    Tipo di cloud Al momento in questo campo viene visualizzato il valore Produzione (Prod), che è il valore predefinito.
  6. Fare clic su Convalida sottoscrizione (Validate Subscription) per assicurarsi che le credenziali immesse siano corrette, quindi fare clic su Salva per salvare la sottoscrizione configurata.

Integrazione SSE

Per visualizzare o creare un'integrazione SSE, eseguire i passaggi seguenti:
  1. Nel servizio SD-WAN del portale dell'azienda, fare clic su Configura (Configure) > Security Service Edge (SSE). Per impostazione predefinita viene visualizzata la scheda Integrazioni SSE (SSE Integrations).
  2. Per creare una nuova integrazione SSE, fare clic su + Nuova integrazione SSE (New SSE Subscription). Viene visualizzata la schermata seguente:
  3. Nella sezione Scegli sottoscrizione cloud (Choose Cloud Subscription), configurare le opzioni seguenti:
    Opzione Descrizione
    Tipo di sottoscrizione (Subscription Type) Selezionare un tipo di sottoscrizione per cui si desidera configurare un'integrazione SSE. Le opzioni disponibili sono:
    • Prisma Access
    • Symantec (anteprima tecnica)
    Sottoscrizione cloud (Cloud Subscription) Selezionare una sottoscrizione cloud nel menu a discesa.

    Nel menu a discesa vengono visualizzate solo le sottoscrizioni cloud configurate nel fornitore SSE selezionato in Tipo di sottoscrizione (Subscription Type).

    Queste sottoscrizioni cloud vengono popolate in base alle configurazioni in Configura (Configure) > Security Service Edge (SSE) > Sottoscrizioni SSE (SSE Subscriptions).
  4. Fare clic su Passaggio successivo (Next Step) per attivare la sezione successiva.
  5. I campi visualizzati nella sezione Crea servizio di rete (Create Network Service) variano in base al Tipo di sottoscrizione (Subscription Type) selezionato.
    L'immagine e la tabella seguenti illustrano il tipo di sottoscrizione Prisma Access:
    Opzione Descrizione
    Nome servizio (Service Name) Immettere un nome univoco per il servizio.
    Larghezza di banda minima per tunnel (Mbps) (Minimum Bandwidth per Tunnel (Mbps)) Immettere la larghezza di banda richiesta. Il valore predefinito è 2.
    Protocollo di tunneling (Tunneling Protocol) Per impostazione predefinita, è selezionato il protocollo di tunneling IPsec. È necessario selezionare il Profilo di crittografia Ipsec (IPsec Crypto Profile) e il Profilo di crittografia IKE (IKE Crypto Profile) dai rispettivi menu a discesa. Questi menu a discesa vengono compilati in base ai profili creati nel portale Palo Alto Networks Strata Cloud Manager.
    L'immagine e la tabella seguenti illustrano il tipo di sottoscrizione Symantec:
    Opzione Descrizione
    Nome servizio (Service Name) Immettere un nome univoco per il servizio.
    Protocollo di tunneling (Tunneling Protocol) Questo campo è impostato su IPSec, che è l'unico protocollo supportato.
  6. Fare clic su Crea e continua (Create and Continue) per attivare la sezione successiva.
  7. Nella sezione Seleziona profilo/Edge (Select Profile/Edges) configurare le opzioni seguenti:
    Opzione Descrizione
    Seleziona profilo (Select Profile) Selezionare un profilo Edge SD-WAN dal menu a discesa.
    Seleziona segmento (Select Segment) Selezionare un segmento nel menu a discesa. Per impostazione predefinita, è selezionata l'opzione Segmento globale (Global Segment).
    Nota: Per la sottoscrizione Prisma è possibile selezionare un solo segmento, mentre per la sottoscrizione Symantec è possibile selezionare più segmenti.
  8. Dopo aver selezionato il profilo e il segmento, viene compilato automaticamente un elenco di Edge associati al profilo selezionato. Selezionare uno o più Edge per cui si desidera applicare l'integrazione SSE.
  9. Se un Edge ha più di due link WAN, i primi due link WAN vengono compilati automaticamente nella tabella. È possibile selezionare i link WAN che si desidera utilizzare per l'automazione.
  10. Fare clic su Convalida configurazione tunnel (Validate Tunnel Configuration). Se uno dei data center ha una sottoscrizione superiore a quella disponibile, viene visualizzato un avviso.
    Nota: Il pulsante Convalida configurazione tunnel (Validate Tunnel Configuration) è disponibile solo per il tipo di sottoscrizione Prisma Access. Nella distribuzione di Prisma, è necessario acquistare una licenza per aggiungere capacità di larghezza di banda a un data center. Questa licenza limita la velocità effettiva massima visualizzando un avviso.
  11. Una volta convalidata la configurazione del tunnel, fare clic su Salva e chiudi (Save and Finish). L'integrazione SSE appena creata viene visualizzata nell'elenco nella pagina di arrivo Security Service Edge (SSE).
  12. Se si desidera modificare l'integrazione SSE esistente, selezionare l'integrazione SSE nell'elenco e fare clic su Modifica (Edit). È inoltre possibile fare clic sul link del nome dell'integrazione SSE per modificarlo.
  13. Per eliminare l'integrazione SSE, selezionare l'integrazione SSE nell'elenco e fare clic su Elimina (Delete).
    Nota: Non è possibile eliminare le integrazioni SSE attualmente utilizzate dagli Edge.
  14. Per monitorare lo stato dell'automazione, fare clic sul link Visualizza (View) nella colonna Stato distribuzione tunnel (Tunnel Deployment Status). Viene visualizzata la schermata seguente:

    Le azioni createOrUpdateEdgeConfiguration e deleteEdgeConfiguration indicano l'automazione SSE per aggiornare le impostazioni del dispositivo Edge di Orchestrator. Le altre azioni sono per le automazioni di terze parti.

    Nota: È inoltre possibile monitorare lo stato della distribuzione di SSE nelle schermate Monitora (Monitor) > Eventi (Events) e Monitora (Monitor) > Servizi di rete (Network Services) > Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge). Per ulteriori informazioni, vedere Monitoraggio degli eventi e Monitoraggio dei servizi di rete.
  15. Per verificare se i tunnel sono attivi, passare a Monitora (Monitor) > Edge (Edges) e passare il puntatore del mouse sotto la colonna Tunnel Edge (Edge Tunnels). È possibile visualizzare i dettagli come illustrato di seguito:

Passaggi successivi:

Associare la sottoscrizione del Security Service Edge a un Edge. Per ulteriori informazioni, vedere Configurazione della VPN cloud e dei parametri del tunnel per gli Edge.

Per indirizzare il traffico di rete a un cloud aziendale specifico, passare a Configura (Configure) > Edge (Edges) > Criterio di business. Fare clic su + Aggiungi (Add) per aggiungere una nuova regola. Per ulteriori informazioni, vedere Creazione di regole dei criteri di business.