從 5.3.0 版本開始,VMware SD-WAN 支援安全服務邊緣 (SSE) 功能。此功能允許 VMware SD-WAN 透過 Orchestrator 使用無縫自動化輕鬆與第三方 SSE 廠商整合。您可以設定與同一廠商的多項 SSE 整合。
企業使用者現在可以透過
安全服務邊緣 (SSE) 功能,設定
透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 和
雲端訂閱 (Cloud Subscription)。如需網路服務的手動組態,請參閱
設定網路服務。
備註: 目前僅支援
透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 網路服務。
安全服務邊緣 (SSE) 功能目前支援 PAN Prisma 和 Symantec 訂閱。對於企業使用者,依預設,會啟用 SSE 功能。
必要條件:
- 對於 PAN Prisma SSE 整合,企業使用者必須先在 Palo Alto Networks Strata Cloud Manager 入口網站中建立 IKE 和 IPSec 設定檔。然後,即可將這些設定檔用於 SSE 整合。如需如何在 Palo Alto Networks Strata Cloud Manager 入口網站中設定 IKE 和 IPSec 設定檔的相關資訊,請參閱Palo Alto Networks Strata Cloud Manager 組態。
- 對於 Symantec 整合,企業使用者必須先為 Symantec Cloud 入口網站中設定的 API 認證,建立使用者名稱和密碼。
備註: 由於通道建立是一項非同步作業,因此,完成每個 WAN 連結通道的安全服務邊緣 (SSE) 自動化組態可能需要 5 到 30 分鐘時間。此時間延遲是由於
PAN Prisma 所致。
在建立 SSE 整合 (SSE Integration) 之前,必須先建立 SSE 訂閱 (SSE Subscription)。
SSE 訂閱
若要檢視或建立 SSE 訂閱,請執行以下步驟:
- 在企業入口網站的 SD-WAN 服務中,按一下 。
- 按一下安全服務邊緣 (SSE) (Security Service Edge (SSE)) 登陸頁面上的 SSE 訂閱 (SSE Subscription) 索引標籤。會顯示以下畫面:
- 在每個動態磚中,按一下檢視 (View) 以檢視現有訂閱的詳細資料。按一下垂直省略符號,然後按一下刪除 (Delete) 以刪除訂閱。
- 若要建立新訂閱,請按一下 + 新增 SSE 訂閱 (+New SSE Subscription)。
- 此時將顯示設定 SSE 訂閱 (Configure SSE Subscription) 視窗。您必須輸入訂閱的名稱 (Name),然後從下拉式功能表中選取訂閱類型 (Subscription Type)。畫面上顯示的欄位會因所選的訂閱類型 (Subscription Type) 而異。
下圖和下表適用於 Prisma Access 訂閱類型。
選項 說明 Tsg 識別碼 (Tsg Id) 輸入識別碼。此值必須是正整數。 使用者名稱 (User Name) 輸入服務帳戶使用者名稱,如 Palo Alto Networks Strata Cloud Manager 中設定的使用者名稱。 密碼 (Password) 輸入服務帳戶密碼,如 Palo Alto Networks Strata Cloud Manager 中設定的密碼。 備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。網域 (Domain) 輸入您的公司網域。範例:vmware.com 備註: 建立 IPSec FQDN 時需要此欄位。備註: Tsg 識別碼 (Tsg Id)、 使用者名稱 (User Name) 和 密碼 (Password) 欄位必須與 Palo Alto Networks Strata Cloud Manager 入口網站中設定的值相符。下圖和下表適用於 Symantec 訂閱類型。選項 說明 使用者名稱 (User Name) 輸入使用者名稱。 密碼 (Password) 輸入密碼。 備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。雲端類型 目前,此欄位會顯示生產 (Prod),這是預設值。 - 按一下驗證訂閱 (Validate Subscription) 以確保輸入的認證正確無誤,然後按一下儲存 (Save) 以儲存設定的訂閱。
SSE 整合
若要檢視或建立 SSE 整合,請執行以下步驟:
- 在企業入口網站的 SD-WAN 服務中,按一下 。依預設,將顯示 SSE 整合 (SSE Integrations) 索引標籤。
- 若要建立新的 SSE 整合,請按一下 + 新增 SSE 整合 (+ New SSE Integration)。會顯示下列畫面:
- 在選擇雲端訂閱 (Choose Cloud Subscription) 區段下,設定下列選項:
選項 說明 訂閱類型 (Subscription Type) 選取要設定 SSE 整合的訂閱類型。可用選項包括: - Prisma Access
- Symantec (技術預覽)
雲端訂閱 (Cloud Subscription) 從下拉式功能表中選取雲端訂閱。 下拉式功能表中僅顯示在訂閱類型 (Subscription Type) 中選取的 SSE 廠商下設定的雲端訂閱。
這些雲端訂閱將根據
下的組態來填入。 - 按下一步 (Next Step),以啟動下一區段。
- 建立網路服務 (Create Network Service) 區段下顯示的欄位,會因選取的訂閱類型 (Subscription Type) 而異。
下圖和下表適用於 Prisma Access 訂閱類型:
選項 說明 服務名稱 (Service Name) 輸入唯一的服務名稱。 每個通道的最小頻寬 (Mbps) (Minimum Bandwidth per Tunnel (Mbps)) 輸入所需的頻寬。預設值為 2。 通道通訊協定 (Tunneling Protocol) 依預設會選取 IPSec 通道通訊協定。您必須從對應的下拉式功能表中選取 IPSec 加密設定檔 (IPSec Crypto Profile) 和 IKE 加密設定檔 (IKE Crypto Profile)。這些下拉式功能表將根據在 Palo Alto Networks Strata Cloud Manager 入口網站中建立的設定檔來填入。 下圖和下表適用於 Symantec 訂閱類型:選項 說明 服務名稱 (Service Name) 輸入唯一的服務名稱。 通道通訊協定 (Tunneling Protocol) 此欄位設定為 IPSec,這是唯一支援的通訊協定。 - 按一下建立並繼續 (Create and Continue) 以啟用下一區段。
- 在選取設定檔/Edge (Select Profile/Edges) 區段下,設定下列選項:
選項 說明 選取設定檔 (Select Profile) 從下拉式功能表中選取一個 SD-WAN Edge 設定檔。 選取區段 (Select Segment) 從下拉式功能表中選取一個區段。依預設,會選取全域區段 (Global Segment)。 備註: 若為 Prisma 訂閱,您只能選取一個區段,而若為 Symantec 訂閱,則可以選取多個區段。 - 在選取 [設定檔 (Profile)] 和 [區段 (Segment)] 後,會自動填入與所選設定檔相關聯的 Edge 清單。選取您要套用 SSE 整合的一或多個 Edge。
- 如果 Edge 具有兩個以上的 WAN 連結,則會在資料表中自動填入前兩個 WAN 連結。您可以選取要用於自動化的 WAN 連結。
- 按一下驗證通道組態 (Validate Tunnel Configuration)。若有任何資料中心的訂閱超額,會顯示一則警告。
備註: 驗證通道組態 (Validate Tunnel Configuration) 按鈕僅適用於 Prisma Access 訂閱類型。在 Prisma 部署中,您必須購買授權,才能在資料中心新增頻寬容量。此授權會限制最大總流量,因此會顯示一則警告。
- 通道組態驗證完成後,按一下儲存並完成 (Save and Finish)。新建立的 SSE 整合會顯示在安全服務邊緣 (SSE) (Security Service Edge (SSE)) 登陸頁面上的清單中。
- 若您要編輯現有的 SSE 整合,請從清單中選取 SSE 整合,然後按一下編輯 (Edit)。您也可以按一下 SSE 整合名稱連結來對其進行編輯。
- 若要刪除 SSE 整合,請從清單中選取 SSE 整合,然後按一下刪除 (Delete)。
備註: 您無法刪除 Edge 目前使用的 SSE 整合。
- 若要監控自動化狀態,請按一下通道部署狀態 (Tunnel Deployment Status) 資料行中的檢視 (View) 連結。會顯示以下畫面:
createOrUpdateEdgeConfiguration
和deleteEdgeConfiguration
動作指出將透過 SSE 自動化,來更新 Orchestrator Edge 裝置設定。其他動作用於第三方自動化。 - 若要驗證通道是否已啟動,請移至Edge 通道 (Edge Tunnels) 資料行下。您可以檢視如下所示的詳細資料: ,然後將滑鼠暫留在
後續步驟:
將安全服務邊緣訂閱與 Edge 相關聯。如需詳細資訊,請參閱為 Edge 設定雲端 VPN 和通道參數。
若要將網路流量導向到特定的企業雲端,請導覽至+ 新增 (+ Add),以新增規則。如需詳細資訊,請參閱建立商務原則規則。
。按一下