In questa sezione vengono descritti i concetti chiave e le configurazioni di base di SASE Orchestrator.
Configurazioni
Il servizio di VMware dispone di quattro configurazioni principali che hanno una relazione gerarchica. Creare queste configurazioni in SASE Orchestrator.
La seguente tabella fornisce una panoramica delle configurazioni:
Configurazione | Descrizione |
---|---|
Rete (Network) | Definisce le configurazioni di rete di base, ad esempio l'indirizzamento IP e le VLAN. Le reti possono essere designate come aziendali o guest e possono essere presenti più definizioni per ogni rete. |
Servizi di rete (Network Services) | Definire diversi servizi comuni utilizzati dal servizio di VMware, come i siti di backhaul, gli hub VPN cloud, i destinazione non SD-WAN, i servizi proxy cloud, i servizi DNS e i servizi di autenticazione. |
Profilo (Profile) | Definisce una configurazione di modello che può essere applicata a più Edge. Un profilo viene configurato selezionando una rete e i servizi di rete. Un profilo può essere applicato a uno o più modelli di Edge e definisce le impostazioni per le interfacce LAN, Internet, LAN wireless e WAN dell'Edge. I profili possono inoltre fornire impostazioni per la configurazione di radio Wi-Fi, SNMP, NetFlow, criteri di business e firewall. |
Edge | Le configurazioni forniscono un gruppo completo di impostazioni che possono essere scaricate in un dispositivo Edge. La configurazione dell'Edge è una combinazione di impostazioni di un profilo selezionato, di una rete selezionata e di servizi di rete. Una configurazione dell'Edge può anche sostituire le impostazioni o aggiungere criteri ordinati a quelli definiti nel profilo, nella rete e nei servizi di rete. |
L'immagine seguente illustra una panoramica dettagliata delle relazioni e delle impostazioni di configurazione di più Edge, profili, reti e servizi di rete.
Un singolo profilo può essere assegnato a più Edge. È possibile utilizzare una singola configurazione di rete in più profili. Le configurazioni dei servizi di rete vengono utilizzate in tutti i profili.
Reti (Networks)
- Reti aziendali o attendibili che possono essere configurate con indirizzi sovrapposti o indirizzi non sovrapposti.
- Reti guest o non attendibili che utilizzano sempre indirizzi sovrapposti.
È possibile definire più reti aziendali e guest e assegnare VLAN a entrambi i tipi di rete.
Con gli indirizzi sovrapposti, tutti gli Edge che utilizzano la rete hanno lo stesso spazio degli indirizzi. Gli indirizzi sovrapposti sono associati alle configurazioni non VPN.
Con gli indirizzi non sovrapposti, uno spazio degli indirizzi viene suddiviso in blocchi con lo stesso numero di indirizzi. Gli indirizzi non sovrapposti sono associati alle configurazioni della VPN. I blocchi di indirizzi vengono assegnati a Edge che utilizzano la rete in modo che ciascun Edge disponga di un set di indirizzi univoco. Gli indirizzi non sovrapposti sono obbligatori per la comunicazione Da Edge a Edge (Edge-to-Edge) e Da Edge alla VPN (Edge -to-VPN) di destinazione non SD-WAN. La configurazione di VMware crea le informazioni necessarie per accedere a un gateway del data center aziendale per l'accesso alla VPN. Un amministratore del gateway del data center aziendale utilizza le informazioni di configurazione IPSec generate durante la configurazione della VPN del destinazione non SD-WAN per configurare il tunnel VPN del destinazione non SD-WAN.
L'immagine seguente illustra come i blocchi di indirizzi IP univoci di una configurazione di rete vengono assegnati a SD-WAN Edge.
Servizi di rete (Network Services)
È possibile definire i servizi di rete aziendali e utilizzarli in tutti i profili. Sono inclusi i servizi per l'autenticazione, il proxy cloud, i destinazione non SD-WAN e i DNS. I servizi di rete definiti vengono utilizzati solo quando sono assegnati a un profilo.
Profili (Profiles)
Un profilo è una configurazione denominata che definisce un elenco di VLAN, le impostazioni della VPN cloud, le impostazioni dell'interfaccia cablata e wireless e i servizi di rete come le impostazioni DNS, le impostazioni di autenticazione, le impostazioni del proxy cloud e le connessioni VPN a destinazione non SD-WAN. È possibile definire una configurazione standard per uno o più SD-WAN Edge utilizzando i profili.
I profili forniscono impostazioni di VPN cloud per gli Edge configurati per la VPN. Le impostazioni della VPN cloud consentono di attivare o disattivare le connessioni da Edge a Edge e da Edge alla VPN di destinazione non SD-WAN.
I profili possono inoltre definire regole e configurazione per le impostazioni dei criteri di business e del firewall.
Edge
È possibile assegnare un profilo a un Edge e l'Edge deriva la maggior parte della configurazione dal profilo.
Nella configurazione dell'Edge è possibile utilizzare la maggior parte delle impostazioni definite in un profilo, nella rete o nei servizi di rete senza alcuna modifica. È tuttavia possibile sostituire le impostazioni per gli elementi di configurazione dell'Edge per adattare un Edge a uno scenario specifico. Sono incluse le impostazioni per le interfacce, le impostazioni della radio Wi-Fi, DNS, l'autenticazione, i criteri di business e il firewall.
È inoltre possibile configurare un Edge per aumentare le impostazioni che non sono presenti nella configurazione del profilo o della rete, tra cui l'indirizzamento della subnet, le impostazioni di routing statiche e le regole del firewall in entrata per port forwarding e NAT 1:1.
Workflow di configurazione di Orchestrator
VMware supporta più scenari di configurazione. La tabella seguente elenca alcuni degli scenari comuni:
Scenario | Descrizione |
---|---|
SaaS | Utilizzato per gli Edge che non richiedono connessioni VPN tra gli Edge, a un destinazione non SD-WAN o un VMware SD-WAN Site. Il workflow presuppone che l'indirizzamento della rete aziendale utilizzi indirizzi sovrapposti. |
destinazione non SD-WAN tramite VPN | Utilizzato per gli Edge che richiedono connessioni VPN a un destinazione non SD-WAN come Amazon Web Services, Zscaler, Cisco ISR o ASR 1000 Series. Il workflow presuppone che l'indirizzamento della rete aziendale utilizzi indirizzi non sovrapposti e che il destinazione non SD-WAN sia specificato nel profilo. |
VPN di VMware SD-WAN Site | Utilizzato per gli Edge che richiedono connessioni VPN a un VMware SD-WAN Site, ad esempio un hub Edge o un hub VPN cloud. Il workflow presuppone che l'indirizzamento della rete aziendale utilizzi indirizzi non sovrapposti e che il VMware SD-WAN Site sia specificato nel profilo. |
Per ogni scenario, eseguire le configurazioni in SASE Orchestrator nell'ordine seguente:
Passaggio 1: rete
Passaggio 2: servizi di rete
Passaggio 3: profilo
Passaggio 4: Edge
La seguente tabella delinea a grandi linee la configurazione di avvio rapido per ogni workflow. Per le configurazioni di avvio rapido è possibile utilizzare la rete preconfigurata, i servizi di rete e le configurazioni dei profili. Per le configurazioni VPN, modificare il profilo VPN esistente e configurare il VMware SD-WAN Site o destinazione non SD-WAN. Il passaggio finale consiste nel creare un nuovo Edge e attivarlo.
Passaggi della configurazione di avvio rapido |
SaaS | VPN di destinazione non SD-WAN |
VPN di VMware SD-WAN Site |
---|---|---|---|
Passaggio 1: rete | Selezionare la rete Internet di avvio rapido | Selezionare la rete VPN di avvio rapido | Selezionare la rete VPN di avvio rapido |
Passaggio 2: servizio di rete | Usare i servizi di rete pre-configurati | Usare i servizi di rete pre-configurati | Usare i servizi di rete pre-configurati |
Passaggio 3: profilo | Selezionare il profilo Internet di avvio rapido | Selezionare il profilo VPN di avvio rapido Attivare la VPN cloud e configurare destinazione non SD-WAN |
Selezionare il profilo VPN di avvio rapido Attivare la VPN cloud e configurare VMware SD-WAN Site |
Passaggio 4: Edge | Aggiungere un nuovo Edge e attivarlo | Aggiungere un nuovo Edge e attivarlo |
Aggiungere un nuovo Edge e attivarlo |
Per ulteriori informazioni, vedere Attivazione di SD-WAN Edge.