クラウド VPN(仮想プライベート ネットワーク)を使用すると、VMwareNon VMware SD-WAN Sites を接続する VPNC 準拠の IPsec VPN 接続が有効になります。また、サイトの健全性(稼動中または停止のステータス)も表示され、サイトのステータスをリアルタイムで確認できます。

クラウド VPN は次のトラフィック フローをサポートします。

  • ブランチからゲートウェイ経由の非 SD-WAN 宛先
  • ブランチから SD-WAN Hub
  • ブランチ間 VPN
  • ブランチから Edge 経由の非 SD-WAN 宛先

次の図は、クラウド VPN の 3 つのブランチをすべて示しています。図内の番号は各ブランチを表し、後に続く表の説明に対応しています。

red-1 Non VMware SD-WAN Site
red-2 ブランチから SD-WAN Hub
red-3 ブランチ間 VPN
red-4 ブランチから Non VMware SD-WAN Site
red-5 ブランチから Non VMware SD-WAN Site

ブランチから[ゲートウェイ経由の非 SD-WAN 宛先]

ブランチから[ゲートウェイ経由の非 SD-WAN 宛先]は、次の構成をサポートします。

  • 既存のファイアウォール VPN ルーターを使用してユーザーのデータセンターに接続
  • IaaS
  • CWS に接続 (Zscaler)

既存のファイアウォール VPN ルーターを使用してユーザーのデータセンターに接続

VMware ゲートウェイとデータセンター ファイアウォール(任意の VPN ルーター)間の VPN 接続により、ブランチ(SD-WAN Edges がインストールされている)と Non VMware SD-WAN Sites 間の接続が提供され、挿入が容易になり、ユーザーのデータセンターをインストールする必要がなくなります。

次の図は VPN 構成を示しています。

red-1 プライマリ トンネル
red-2 冗長トンネル
red-3 セカンダリ VPN ゲートウェイ
VMware は、 SD-WAN Gateway を介して次の Non VMware SD-WAN Site 構成をサポートします。
  • チェック ポイント
  • Cisco ASA
  • Cisco ISR
  • 汎用 IKEv2 ルーター(ルートベース VPN)
  • Microsoft Azure Virtual Hub
  • Palo Alto
  • SonicWALL
  • Zscaler
  • 汎用 IKEv1 ルーター(ルートベース VPN)
  • 汎用ファイアウォール(ポリシー ベースの VPN)
    注: VMware は、ゲートウェイからの汎用ルート ベースとポリシー ベースの両方の Non VMware SD-WAN Site をサポートしています。

SD-WAN Gateway 経由でのブランチから Non VMware SD-WAN Site の構成方法については、ゲートウェイ経由の非 SD-WAN 宛先の構成を参照してください。

IaaS

Amazon Web Services (AWS) を使用して構成する場合は、Non VMware SD-WAN Site ダイアログ ボックスで [汎用ファイアウォール (ポリシー ベースの VPN) (Generic Firewall (Policy Based VPN))] オプションを使用します。

サードパーティを使用して構成すると、次のようなメリットがあります。

  • メッシュの排除
  • コスト
  • パフォーマンス

VMware クラウド VPN のセットアップは簡単です(SD-WAN Gateways のグローバル ネットワークでは、VPC に対するメッシュ トンネル要件が不要)。また、ブランチ VPC アクセスを制御するための一元化されたポリシーがあり、パフォーマンスが保証され、従来の WAN による VPC への接続と比較してより安全な接続が実現します。

Amazon Web Services (AWS) を使用して構成する方法については、Amazon Web Services の構成セクションを参照してください。

CWS に接続 (Zscaler)

Zscaler Web Security は、セキュリティ、可視性、および制御を提供します。クラウドで提供される Zscaler は、脅威からの保護、リアルタイムの分析、フォレンジックなどの機能を備えた Web セキュリティを提供します。

Zscaler を使用して構成すると、次のメリットが得られます。

  • パフォーマンス:Zscaler に直接接続(ゲートウェイ経由の Zscaler)
  • 複雑なプロキシ管理:シンプルなクリック ポリシーに対応した Zscaler を実現

ブランチから SD-WAN Hub

SD-WAN Hub は、ブランチがデータセンターのリソースにアクセスするためにデータセンターにデプロイされた Edge です。SD-WAN OrchestratorSD-WAN Hub を設定する必要があります。SD-WAN Orchestrator は、ハブに関してすべての SD-WAN Edges を通知し、SD-WAN Edges はハブへのセキュアなオーバーレイ マルチパス トンネルを構築します。

次の図は、アクティブ/スタンバイとアクティブ/アクティブの両方がどのようにサポートされているかを示しています。

ブランチ間 VPN

ブランチ間 VPN は、ブランチ間の VPN 接続を確立してパフォーマンスとスケーラビリティを向上させるための構成をサポートします。

ブランチ間 VPN では、次の 2 つの構成がサポートされます。

  • クラウド ゲートウェイ
  • VPN 用 SD-WAN Hubs

次の図は、クラウド ゲートウェイと SD-WAN Hub の両方のブランチ間トラフィックのフローを示しています。

クラウド ゲートウェイとハブの両方で、動的なブランチ間 VPN を有効にすることもできます。

[クラウド VPN (Cloud VPN)] 領域の [構成 (Configure)] > [プロファイル (Profiles)] > [デバイス (Device)] タブから、SD-WAN Orchestrator のワンクリック クラウド VPN 機能にアクセスできます。

注: クラウド VPN を構成する詳細な手順については、 プロファイルのクラウド VPN の構成を参照してください。

ブランチから [Edge 経由の非 SD-WAN 宛先]

ブランチから [Edge 経由の非 SD-WAN 宛先]は、次のルート ベース VPN の構成をサポートします。

  • 汎用 IKEv2 ルーター(ルート ベース VPN)
  • 汎用 IKEv1 ルーター(ルート ベース VPN)
注: VMware は、Edge 経由でのルート ベースの Non VMware SD-WAN Site 構成のみをサポートします。

詳細については、Edge 経由の非 SD-WAN 宛先の構成を参照してください。