A rede privada virtual (VPN) da cloud permite uma ligação VPN IPsec compatível com VPNC que liga VMware e Destinos Não-SD-WAN. Também indica a condição dos sites (estado ativo ou inativo) e fornece o estado em tempo real dos sites.

A VPN de cloud suporta os seguintes fluxos de tráfego:

  • Ramo a Destino Não-SD-WAN via Gateway
  • Ramo a SD-WAN Hub
  • VPN Ramo a Ramo
  • Ramo a Destino Não-SD-WAN via Edge

A seguinte figura representa os três ramos da VPN de cloud. Os números na imagem representam cada ramo e correspondem às descrições na tabela que se segue.

red-1 Destino Não-SD-WAN
red-2 Ramo a SD-WAN Hub
red-3 VPN Ramo a Ramo
red-4 Ramo a Destino Não-SD-WAN
red-5 Ramo a Destino Não-SD-WAN

Ramo a destino não-SD-WAN via gateway

O ramo a destino não-SD-WAN via gateway suporta as seguintes configurações:

  • Ligação ao centro de dados do cliente com o Router VPN de firewall existente
  • IaaS
  • Ligação ao CWS (Zscaler)

Ligação ao centro de dados do cliente com o Router VPN de firewall existente

Uma ligação VPN entre o gateway VMware e a firewall do centro de dados (qualquer router VPN) proporciona conectividade entre os ramos (com SD-WAN Edges instalado) e Destinos Não-SD-WAN, resultando numa facilidade de inserção, ou seja, não é necessária nenhuma instalação do centro de dados do cliente.

A figura a seguir mostra uma configuração VPN:

red-1 Túnel principal
red-2 Túnel redundante
red-3 Gateway VPN secundário (Secondary VPN Gateway)
O VMware suporta as seguintes configurações de Destino Não-SD-WAN através de SD-WAN Gateway:
  • Check Point
  • Cisco ASA
  • Cisco ISR
  • Router IKEv2 Genérico (VPN baseada em caminho)
  • Hub virtual Microsoft Azure
  • Palo Alto
  • SonicWALL
  • Zscaler
  • Router IKEv1 genérico (VPN baseada em caminho)
  • Firewall genérica (VPN baseada em política)
    Nota: O VMware suporta Destino Não-SD-WAN baseado em caminhos genéricos e baseado em políticas a partir do gateway.

Para obter informações sobre como configurar um ramo a Destino Não-SD-WAN através de SD-WAN Gateway, consulte Configurar destinos Não-SD-WAN via Gateway.

IaaS

Ao configurar com o Amazon Web Services (AWS), utilize a opção Firewall genérica (VPN baseada em política) [Generic Firewall (Policy Based VPN)] na caixa de diálogo Destino Não-SD-WAN.

Configurar com um terceiro pode oferecer as seguintes vantagens:

  • Elimina a malha
  • Custo (Cost)
  • Desempenho

A VPN de cloud do VMware é simples de configurar (as redes globais de SD-WAN Gateways eliminam a exigência de túnel de malha para VPCs), tem uma política centralizada para controlar o acesso VPC do ramo, assegura o desempenho e protege a conectividade em comparação com o WAN tradicional para VPC.

Para obter informações sobre como configurar utilizando o Amazon Web Services (AWS), consulte a secção Configurar os serviços Web da Amazon.

Ligação ao CWS (Zscaler)

A segurança Web do Zscaler fornece segurança, visibilidade e controlo. Entregue na cloud, o Zscaler fornece segurança Web com funcionalidades que incluem proteção de ameaças, análises em tempo real e forense.

A configuração da utilização do Zscaler oferece as seguintes vantagens:

  • Desempenho: direto para o Zscaler (Zscaler via Gateway)
  • Gerir o proxy é complexo: permite um Zscaler consciente da política de clique único

Ramo a SD-WAN Hub

O SD-WAN Hub é um Edge implementado em centros de dados para os ramos acederem aos recursos do centro de dados. Tem de configurar o seu SD-WAN Hub no SASE Orchestrator. O SASE Orchestrator notifica todos os SD-WAN Edges acerca de hubs, e os SD-WAN Edges constroem um túnel de vários caminhos de overlay seguro para os hubs.

A figura a seguir mostra como são suportados tanto o ativo-em espera como o ativo-ativo.

VPN Ramo a Ramo

A VPN ramo a ramo suporta configurações para estabelecer uma ligação VPN entre ramos para melhorar o desempenho e a escalabilidade.

A VPN ramo a ramo suporta duas configurações:

  • Gateways de cloud
  • SD-WAN Hubs para VPN

A figura a seguir mostra fluxos de tráfego ramo a ramo para o gateway de cloud e um SD-WAN Hub.

Também pode ativar a VPN ramo a ramo dinâmica (Dynamic Branch to Branch VPN) tanto para os gateways de cloud como para hubs.

Pode aceder à funcionalidade VPN de cloud de 1 clique no SASE Orchestrator no separador Configurar > Perfis > Dispositivo (Configure > Profiles > Device ) na área VPN de cloud (Cloud VPN).

Nota: Para obter instruções passo a passo para configurar a VPN de cloud, consulte Configurar a VPN de cloud para perfis.

Ramo a destino não-SD-WAN via Edge

O ramo a destino não-SD-WAN via Edge suporta as seguintes configurações VPN baseadas em caminhos:

  • Router IKEv2 Genérico (VPN baseada em caminho)
  • Router IKEv1 genérico (VPN baseada em caminho)
Nota: VMware suporta apenas configurações de Destino Não-SD-WAN baseadas em caminhos através do Edge.

Para obter mais informações, consulte Configurar Destinos Não-SD-WAN via Edge.