クラウド VPN(仮想プライベート ネットワーク)を使用すると、VMware と Non SD-WAN Destination を接続する VPNC 準拠の IPsec VPN 接続が可能になります。また、サイトの健全性(稼動中またはダウンの状態)も表示され、サイトの状態をリアルタイムで確認できます。
クラウド VPN は次のトラフィック フローをサポートします。
- ブランチから Gateway 経由の Non SD-WAN Destination
- ブランチから SD-WAN Hub
- ブランチ間 VPN
- ブランチから Edge 経由の Non SD-WAN Destination
次の図は、クラウド VPN の 3 つのブランチをすべて示しています。図内の番号は各ブランチを表し、後に続く表の説明に対応しています。
Non SD-WAN Destination | |
ブランチから SD-WAN Hub | |
ブランチ間 VPN | |
ブランチから Non SD-WAN Destination | |
ブランチから Non SD-WAN Destination |
ブランチから [Gateway 経由の Non SD-WAN Destination]
ブランチから [Gateway 経由の Non SD-WAN Destination] は、次の設定をサポートします。
- 既存のファイアウォール VPN ルーターを使用してカスタマーのデータセンターに接続
- IaaS
- CWS に接続 (Zscaler)
既存のファイアウォール VPN ルーターを使用してカスタマーのデータセンターに接続
VMware Gateway とデータセンター ファイアウォール(任意の VPN ルーター)間の VPN 接続により、ブランチ(SD-WAN Edge がインストールされている)と Non SD-WAN Destination 間の接続が提供され、挿入が容易になり、カスタマーのデータセンターをインストールする必要がなくなります。
次の図は VPN 設定を示しています。
プライマリ トンネル | |
冗長トンネル | |
セカンダリ VPN Gateway |
- Check Point
- Cisco ASA
- Cisco ISR
- 汎用 IKEv2 ルーター(ルートベース VPN)
- Microsoft Azure Virtual Hub
- Palo Alto
- SonicWALL
- Zscaler
- 汎用 IKEv1 ルーター(ルートベース VPN)
- 汎用ファイアウォール(ポリシー ベース VPN)
注: VMware は、Gateway からの汎用ルート ベースとポリシー ベースの両方の Non SD-WAN Destination をサポートしています。
SD-WAN Gateway 経由でのブランチから Non SD-WAN Destination の設定方法については、Gateway 経由の Non SD-WAN Destination の設定を参照してください。
IaaS
Amazon Web Services (AWS) を使用して設定する場合は、Non SD-WAN Destination ダイアログ ボックスで [汎用ファイアウォール (ポリシー ベース VPN) (Generic Firewall (Policy Based VPN))] オプションを使用します。
サードパーティを使用して設定すると、次のようなメリットがあります。
- メッシュの排除
- コスト (Cost)
- パフォーマンス
VMware クラウド VPN のセットアップは簡単です(SD-WAN Gateway のグローバル ネットワークでは、VPC に対するメッシュ トンネル要件が不要)。また、ブランチ VPC アクセスを制御するための一元化されたポリシーがあり、パフォーマンスが保証され、従来の WAN による VPC への接続と比較してより安全な接続が実現します。
Amazon Web Services (AWS) を使用して設定する方法については、Amazon Web Services の設定セクションを参照してください。
CWS に接続 (Zscaler)
Zscaler Web Security は、セキュリティ、可視性、および制御を提供します。クラウドで提供される Zscaler は、脅威からの保護、リアルタイムの分析、フォレンジックなどの機能を備えた Web セキュリティを提供します。
Zscaler を使用して設定すると、次のメリットが得られます。
- パフォーマンス:Zscaler に直接接続(Gateway 経由の Zscaler)
- 複雑なプロキシ管理:シンプルなクリック ポリシーに対応した Zscaler を実現
ブランチから SD-WAN Hub
SD-WAN Hub は、ブランチがデータセンターのリソースにアクセスするためにデータセンターにデプロイされた Edge です。SD-WAN Orchestrator で SD-WAN Hub を設定する必要があります。SD-WAN Orchestrator は、ハブに関してすべての SD-WAN Edge を通知し、SD-WAN Edge はハブへのセキュアなオーバーレイ マルチパス トンネルを構築します。
次の図は、アクティブ/スタンバイとアクティブ/アクティブの両方がどのようにサポートされているかを示しています。
ブランチ間 VPN
ブランチ間 VPN は、ブランチ間の VPN 接続を確立してパフォーマンスとスケーラビリティを向上させるための設定をサポートします。
ブランチ間 VPN では、次の 2 つの設定がサポートされます。
- Cloud Gateway
- VPN 用 SD-WAN Hub
次の図は、Cloud Gateway と SD-WAN Hub の両方のブランチ間トラフィックのフローを示しています。
Cloud Gateway とハブの両方で、[動的なブランチ間 VPN (Dynamic Branch to Branch VPN)] を有効にすることもできます。
[クラウド VPN (Cloud VPN)] 領域の [設定 (Configure)] > [プロファイル (Profiles)] > [デバイス (Device)] タブから、SD-WAN Orchestrator のワンクリック クラウド VPN 機能にアクセスできます。
ブランチから [Edge 経由の Non SD-WAN Destination]
ブランチから [Edge 経由の Non SD-WAN Destination]は、次のルート ベース VPN の設定をサポートします。
- 汎用 IKEv2 ルーター(ルートベース VPN)
- 汎用 IKEv1 ルーター(ルートベース VPN)
詳細については、Edge 経由の Non SD-WAN Destination の設定を参照してください。