VMware 支援下列 Non VMware SD-WAN Site 組態:

  • 檢查點
  • Cisco ASA
  • Cisco ISR
  • 一般 IKEv2 路由器 (以路由為基礎的 VPN)
  • Microsoft Azure 虛擬中樞
  • Palo Alto
  • SonicWALL
  • Zscaler
  • 一般 IKEv1 路由器 (以路由為基礎的 VPN)
  • 一般防火牆 (以原則為基礎的 VPN)
    備註: VMware 現在支援一般 IKEv1 路由器 (以路由為基礎的 VPN) 和一般 IKEv2 路由器 (以路由為基礎的 VPN) Non VMware SD-WAN Site 組態。

Cisco ASA

Cisco ASA 是另一個常見的第三方組態。以下說明如何在 SD-WAN Orchestrator 中使用 Cisco ASA 進行設定的指示。

若要透過 Cisco ASA 進行設定:

  1. 移至設定 (Configure) > 網路服務 (Network Services)
  2. 非 VeloCloud 站台 (Non-VeloCloud Sites) 區域中,按一下新增 (New) 按鈕。

    新增非 VeloCloud 站台 (New Non-VeloCloud Site) 對話方塊隨即出現。

    complementary-config-third-party-cisco-asa-new-dialog

  3. 新增非 VeloCloud 站台 (New Non-VeloCloud Site) 對話方塊中:
    1. 名稱 (Name) 文字方塊中,輸入 Non VMware SD-WAN Site 的名稱。
    2. 類型 (Type) 下拉式功能表中,選取 Cisco ASA
    3. 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)

    您的 Non VMware SD-WAN Site 隨即建立,並顯示 Non VMware SD-WAN Site 對話方塊。

    complementary-config-third-party-cisco-asa-site-dialog

  4. 在您Non VMware SD-WAN Site的對話方塊中:
    1. 若要設定Non VMware SD-WAN Site主要 VPN 閘道的通道設定,請按一下位於對話方塊底部的進階 (Advanced) 按鈕。
    2. 主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
      欄位 說明
      PSK 預先共用金鑰 (PSK),這是在通道間進行驗證時所使用的安全性金鑰。依預設,Orchestrator 會產生 PSK。如果您想要使用自己的 PSK 或密碼,可以在文字方塊中輸入。
      加密 (Encryption) 選取 AES 128AES 256 作為加密資料的演算法。預設值為 AES 128。
      DH 群組 (DH Group) 選取交換預先共用金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。預設值為 2。
      PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。預設值為 2。
      備註: Cisco ASA 網路服務類型不支援次要 VPN 閘道。
      備註:

      依預設,針對 Cisco ASA Non VMware SD-WAN Site使用的本機驗證識別碼值為 SD-WAN Gateway介面本機 IP。

    3. 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。

      對主要 VPN 閘道的加密、DH 群組或 PFS 所做的任何變更,也將套用至備援 VPN 通道 (如果已設定)。在修改主要 VPN 閘道的通道設定後儲存變更,然後按一下檢視 IKE/IPSec 範本 (View IKE/IPSec Template),以檢視更新的通道組態。

    4. 按一下更新位置 (Update location) 連結,為已設定的Non VMware SD-WAN Site設定位置。緯度和經度詳細資料可用來判斷在網路中要連線到的最佳 Edge 或閘道。
    5. 站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增Non VMware SD-WAN Site的子網路。
    6. 使用自訂來源子網路 (Custom Source Subnets),覆寫路由至此 VPN 裝置的來源子網路。通常,來源子網路會衍生自路由至此裝置的 Edge LAN 子網路。
    7. 當您準備好起始從 SD-WAN Gateway到 Cisco ASA VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
    8. 按一下儲存變更 (Save Changes)

Cisco ISR

Cisco ISR 是較為常見的第三方組態之一。以下說明如何在 SD-WAN Orchestrator 中使用 Cisco ISR 進行設定的指示。

若要透過 Cisco ISR 進行設定:

  1. 移至設定 (Configure) > 網路服務 (Network Services)
  2. 非 VeloCloud 站台 (Non-VeloCloud Sites) 區域中,按一下新增 (New) 按鈕。

    [新增非 VeloCloud 站台 (New Non-VeloCloud Site)] 對話方塊隨即出現。

    complementary-config-third-party-datacenter-new-dialog

  3. 新增非 VeloCloud 站台 (New Non-VeloCloud Site) 對話方塊中:
    1. 名稱 (Name) 文字方塊中,輸入 Non VMware SD-WAN Site 的名稱。
    2. 類型 (Type) 下拉式功能表中,選取 Cisco ISR
    3. 輸入主要 VPN 閘道的 IP 位址,然後按下一步 (Next)

    您的 Non VMware SD-WAN Site 隨即建立,並顯示 Non VMware SD-WAN Site 對話方塊。

    complementary-config-third-party-site-dialog

  4. 在您Non VMware SD-WAN Site的對話方塊中:
    1. 若要設定Non VMware SD-WAN Site主要 VPN 閘道的通道設定,請按一下位於對話方塊底部的進階 (Advanced) 按鈕。
    2. 參考上表來設定通道設定,例如 PSK、加密、DH 群組和 PFS。
    3. 如果您想要為此站台建立次要 VPN 閘道,請按一下次要 VPN 閘道 (Secondary VPN Gateway) 旁的新增 (Add) 按鈕。在快顯視窗中,輸入次要 VPN 閘道的 IP 位址,然後按一下儲存變更 (Save Changes)

      系統將立即為此站台建立次要 VPN 閘道,並將 VMware VPN 通道佈建至此閘道。

      備註:

      依預設,針對 Cisco ISR Non VMware SD-WAN Site使用的本機驗證識別碼值為 SD-WAN Gateway介面本機 IP。

    4. 選取備援 VeloCloud 雲端 VPN (Redundant VeloCloud Cloud VPN) 核取方塊,為每個 VPN 閘道新增備援通道。
    5. 站台子網路 (Site Subnets) 下方,您可以按一下 + 按鈕以新增Non VMware SD-WAN Site的子網路。
    6. 當您準備好起始從 SD-WAN Gateway到 Cisco ISR VPN 閘道的通道後,請勾選啟用通道 (Enable Tunnel(s)) 核取方塊。
    7. 按一下儲存變更 (Save Changes)

Microsoft Azure 虛擬中樞

Microsoft Azure 虛擬中樞是較為常見的第三方組態之一。如需相關指示以在 SD-WAN Orchestrator 中設定 Microsoft Azure 虛擬中樞類型的 Non VMware SD-WAN Site,請參閱設定 Microsoft Azure Non VMware SD-WAN Site