從 5.3.0 版本開始,VMware SD-WAN 支援安全服務邊緣 (SSE) 功能。此功能允許 VMware SD-WAN 透過 Orchestrator 使用無縫自動化輕鬆與第三方 SSE 廠商整合。您可以設定與同一廠商的多項 SSE 整合。

備註: 由於通道建立是一項非同步作業,因此,完成每個 WAN 連結通道的安全服務邊緣 (SSE) 自動化組態可能需要 5 到 30 分鐘時間。此時間延遲是由於 PAN Prisma 所致。
必要條件:
  • 操作員使用者必須導覽至 Orchestrator > 系統內容 (System Properties),將 SSE 系統內容 session.options.enableSseService 的值設定為 True。如需系統內容的詳細資訊,請參閱《VMware SASE Orchestrator 部署和監控指南》
  • 企業使用者必須在 Palo Alto Networks Strata Cloud Manager 上建立 IPSecIKE 設定檔。然後,即可將這些設定檔用於 SSE 整合。請參閱以下範本:

    AES 128 CBC

    DH 群組 14 (IKE 加密設定檔)

    PFS 已停用 (IPSec 加密設定檔 - DH 群組)

    SHA 256

    IKE SA 存留時間 1440 分鐘

    IPSec SA 存留時間 480 分鐘

企業使用者現在可以透過 安全服務邊緣 (SSE) 功能,設定 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge)雲端訂閱 (Cloud Subscription)
備註: 對於 5.3.0,僅支援 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 網路服務。如需其他網路服務的詳細資訊,請參閱 設定網路服務
若要存取安全服務邊緣 (SSE),請遵循以下步驟:
  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > 安全服務邊緣 (SSE) (Security Service Edge (SSE))。依預設,將顯示 SSE 整合 (SSE Integrations) 索引標籤。
  2. 按一下新的 SSE 整合 (New SSE Integration) 會顯示以下畫面:
  3. 選擇雲端訂閱 (Choose Cloud Subscription) 區域下,設定下列選項:
    選項 說明
    訂閱類型 (Subscription Type) 選取要設定 SSE 整合的訂閱類型。目前,僅支援 Prisma Access
    雲端訂閱 (Cloud Subscription) 從下拉式功能表中選取雲端訂閱。

    下拉式功能表中僅顯示在訂閱類型 (Subscription Type) 中選取的 SSE 廠商下設定的雲端訂閱。

    這些雲端訂閱將根據設定 (Configure) > 安全服務邊緣 (SSE) (Security Service Edge (SSE)) > SSE 訂閱 (SSE Subscriptions) 下的組態來填入。

  4. 下一步
    備註: 僅當選取適當的值後,才會啟用 下一步 (Next Step) 按鈕。
  5. 建立網路服務 (Create Network Service) 下,設定下列選項:
    選項 說明
    服務名稱 (Service Name) 輸入唯一的服務名稱。
    每個通道的最小頻寬 (Mbps) (Minimum Bandwidth per Tunnel (Mbps)) 輸入所需的頻寬。預設值為 2
    免除這些 WAN 連結類型 (Exempt these WAN Link Types) 預設值為無 (None)。目前不支援其他值。
    通道通訊協定 (Tunneling Protocol) 依預設會選取 IPSec 通道通訊協定。您必須從對應的下拉式功能表中選取 IPSec 加密設定檔 (IPSec Crypto Profile)IKE 加密設定檔 (IKE Crypto Profile)。這些下拉式功能表將根據在 Palo Alto Networks Strata Cloud Manager 中建立的設定檔來填入。
  6. 按一下建立並繼續 (Create and Continue) 以啟用下一區段。
  7. 選取設定檔/Edge (Select Profile/Edges) 下,設定下列選項:
    選項 說明
    選取設定檔 (Select Profile) 從下拉式功能表中選取一個 SD-WAN Edge 設定檔。
    選取區段 (Select Segment) 從下拉式功能表中選取一個區段。
    選取 Edge (Select Edges) 系統將自動填入與選取的設定檔相關聯的 Edge 清單。選取您要套用 SSE 整合的一或多個 Edge。
  8. 按一下驗證通道組態 (Validate Tunnel Configuration)。此時將顯示資料中心位置。
  9. 通道組態驗證完成後,按一下儲存並完成 (Save and Finish)。新建立的 SSE 整合會顯示在安全服務邊緣 (SSE) (Security Service Edge (SSE)) 登陸頁面上的清單中。
  10. 若要監控部署狀態,請按一下通道部署狀態 (Tunnel Deployment Status) 資料行中的檢視 (View) 連結。會顯示以下畫面:
    備註: 您也可以在 監控 (Monitor) > 事件 (Events)監控 (Monitor) > 網路服務 (Network Services) > 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 畫面上監控 SSE 部署狀態。如需詳細資訊,請參閱 監控事件監控網路服務
  11. 若您要編輯現有的 SSE 整合,請從清單中選取 SSE 整合,然後按一下編輯 (Edit)。您也可以按一下 SSE 整合名稱連結來對其進行編輯。
  12. 若要刪除 SSE 整合,請從清單中選取 SSE 整合,然後按一下刪除 (Delete)
  13. 若要檢視或建立新的 SSE 訂閱,請按一下安全服務邊緣 (SSE) (Security Service Edge (SSE)) 登陸頁面上的 SSE 訂閱 (SSE Subscription) 索引標籤。會顯示以下畫面:
  14. 在每個動態磚中,按一下檢視 (View) 以檢視現有訂閱的詳細資料。按一下垂直省略符號,然後按一下刪除 (Delete) 以刪除訂閱。
  15. 若要建立新訂閱,請按一下新的 SSE 訂閱 (New SSE Subscription)。會顯示以下畫面:
  16. 您可以設定下列選項:
    選項 說明
    名稱 (Name) 輸入訂閱名稱。
    訂閱類型 (Subscription Type) 從下拉式功能表中選取訂閱類型。
    Tsg 識別碼 (Tsg Id) 輸入識別碼。此值必須是正整數。
    使用者名稱 (User Name) 輸入使用者名稱。
    密碼 (Password) 輸入密碼。
    網域 (Domain) 輸入網域名稱。
    備註: Tsg 識別碼 (Tsg Id)使用者名稱 (User Name)密碼 (Password) 欄位是 Prisma 的特定欄位,它們必須與在 Palo Alto Networks Strata Cloud Manager 中設定的值相符。
  17. 按一下驗證訂閱 (Validate Subscription),然後按一下儲存 (Save) 以儲存已設定的訂閱。

後續步驟:

將安全服務邊緣訂閱與 Edge 相關聯。如需詳細資訊,請參閱為 Edge 設定雲端 VPN 和通道參數