クラウド VPN(仮想プライベート ネットワーク)を使用すると、VMware SD-WANNon-VMware SD-WAN Sites を接続する VPNC 準拠の IPsec VPN 接続が有効になります。また、サイトの健全性(稼動中または停止のステータス)も表示され、サイトのステータスをリアルタイムで確認できます。

クラウド VPN は次のトラフィック フローをサポートします。

  • ブランチから Non-VMware SD-WAN Site
  • ブランチから SD-WAN Hub
  • ブランチ間 VPN

次の図は、クラウド VPN の 3 つのブランチをすべて示しています。図内の番号は各ブランチを表し、後に続く表の説明に対応しています。

vpn-cloud-vpn-intro

[番号(上の図に対応)] [説明]
red-1 Non-VMware SD-WAN Site
red-2 ブランチから SD-WAN Hub
red-3 ブランチ間 VPN
red-4 ブランチから Non-VMware SD-WAN Site
red-5 ブランチから Non-VMware SD-WAN Site

ブランチから Non-VMware SD-WAN Site

「ブランチから Non-VMware SD-WAN Site」では次の構成がサポートされます。

  • 既存のファイアウォール VPN ルーターを使用してユーザーのデータセンターに接続
  • IaaS
  • CWS に接続 (Zscaler)

既存のファイアウォール VPN ルーターを使用してユーザーのデータセンターに接続

VMware SD-WAN ゲートウェイとデータセンター ファイアウォール(任意の VPN ルーター)間の VPN 接続により、ブランチ(SD-WAN Edges がインストールされている)と Non-VMware SD-WAN Sites 間の接続が提供され、挿入が容易になり、ユーザーのデータセンターをインストールする必要がなくなります。

次の図は VPN 構成を示しています。

vpn-cloud-vpn-branch-to-non-vmware-sd-wan-site

[番号(上の図に対応)] [説明]
red-1 プライマリ トンネル
red-2 冗長トンネル
red-3 セカンダリ VPN ゲートウェイ

VMware SD-WAN は、次のサードパーティ ファイアウォールへの VPN 接続をサポートしています。

  • Cisco ASA
  • Cisco ISR
  • PaloAlto
  • SonicWall
  • 汎用ルーター(ルーター ベースの VPN)
  • 汎用ファイアウォール(ポリシー ベースの VPN)

Non-VMware SD-WAN Site へのブランチを構成する方法については、Non-VMware SD-WAN Site の構成を参照してください。

IaaS

Amazon Web Services (AWS) を使用して構成する場合は、Non-VMware SD-WAN Site ダイアログ ボックスで [汎用ファイアウォール (ポリシー ベースの VPN) (Generic Firewall (Policy Based VPN))] オプションを使用します。

サードパーティを使用して構成すると、次のようなメリットがあります。

  • メッシュの排除
  • コスト
  • パフォーマンス

次の図に示すように、VMware SD-WAN クラウド VPN のセットアップは簡単です(SD-WAN Gateways のグローバル ネットワークでは、VPC に対するメッシュ トンネル要件が不要)。また、ブランチ VPC アクセスを制御するための一元化されたポリシーがあり、パフォーマンスが保証され、従来の WAN による VPC への接続と比較してより安全な接続が実現します。

vpn-cloud-vpn-iaas

Amazon Web Services (AWS) を使用して構成する方法については、Amazon Web Services の構成セクションを参照してください。

CWS に接続 (Zscaler)

Zscaler Web Security は、セキュリティ、可視性、および制御を提供します。クラウドで提供される Zscaler は、脅威からの保護、リアルタイムの分析、フォレンジックなどの機能を備えた Web セキュリティを提供します。

Zscaler を使用して構成すると、次のメリットが得られます。

  • [パフォーマンス]:Zscaler に直接接続(ゲートウェイを介した Zscaler)
  • [複雑なプロキシ管理]:シンプルなクリック ポリシーに対応した Zscaler を実現

ブランチから SD-WAN Hub

SD-WAN Hub は、ブランチがデータセンターのリソースにアクセスするためにデータセンターにデプロイされた Edge です。SD-WAN OrchestratorSD-WAN Hub を設定する必要があります。SD-WAN Orchestrator は、ハブに関してすべての SD-WAN Edges を通知し、SD-WAN Edges はハブへのセキュアなオーバーレイ マルチパス トンネルを構築します。

次の図は、アクティブ/スタンバイとアクティブ/アクティブの両方がどのようにサポートされているかを示しています。

vpn-cloud-vpn-branch-to-hub

ブランチ間 VPN

ブランチ間 VPN は、ブランチ間の VPN 接続を確立してパフォーマンスとスケーラビリティを向上させるための構成をサポートします。

ブランチ間 VPN では、次の 2 つの構成がサポートされます。

  • クラウド ゲートウェイ
  • VPN 用 SD-WAN Hubs

次の図は、クラウド ゲートウェイと SD-WAN Hub の両方のブランチ間トラフィックのフローを示しています。

vpn-cloud-vpn-branch-to-branch-vpn

クラウド ゲートウェイとハブの両方で、動的なブランチ間 VPN を有効にすることもできます。

[クラウド VPN (Cloud VPN)] 領域の [構成 (Configure)] > [プロファイル (Profiles)] > [デバイス (Device)] タブから、SD-WAN Orchestrator のワンクリック クラウド VPN 機能にアクセスできます。

注: クラウド VPN を構成する詳細な手順については、 クラウド VPN の構成を参照してください。