本節說明 SASE Orchestrator 的主要概念及核心組態。
組態
VMware 服務有四個具有階層關聯性的核心組態。在 SASE Orchestrator 中建立這些組態。
下表提供組態的概觀:
| 組態 | 說明 |
|---|---|
| 網路 (Network) | 定義基本網路設定,例如 IP 定址和 VLAN。網路可指定為公司或客體,且每個網路可能有多個定義。 |
| 網路服務 | 定義 VMware 服務所使用的數個常用服務,例如回傳站台、雲端 VPN 中樞、非 SD-WAN 目的地、雲端 Proxy 服務、DNS 服務和驗證服務。 |
| 設定檔 | 定義可套用至多個 Edge 的範本組態。藉由選取網路和網路服務而設定的設定檔。一個設定檔可套用至一或多個 Edge 型號,以及定義 LAN、網際網路、無線 LAN 和 WAN Edge 介面的設定。設定檔也可提供 Wi-Fi 無線電、SNMP、Netflow、商務原則和防火牆組態的設定。 |
| Edge | 組態會提供可下載至 Edge 裝置的完整設定群組。Edge 組態是由選取的設定檔、選取的網路和網路服務的設定所組成的。Edge 組態也可覆寫設定,或將已排序的原則新增至設定檔、網路和網路服務中定義的原則。 |
下圖顯示多個 Edge、設定檔、網路和網路服務的關聯性和組態設定詳細概觀。
單一設定檔可指派給多個 Edge。個別網路組態可在多個設定檔中使用。網路服務組態會用於所有設定檔中。
網路 (Networks)
- 公司或受信任網路,其可透過重疊位址或非重疊位址進行設定。
- 客體或不受信任的網路,其一律會使用重疊位址。
您可以定義多個公司和客體網路,並將 VLAN 指派給這兩個網路。
在位址重疊的情況下,所有使用網路的 Edge 都有相同的位址空間。重疊位址會與非 VPN 組態相關聯。
在非重疊位址中,位址空間會分成位址數目相同的區塊。非重疊位址會與 VPN 組態相關聯。位址區塊會指派給使用網路的 Edge,而使每個 Edge 都具有一組唯一的位址。Edge 對 Edge (Edge-to-Edge) 和 Edge 對 非 SD-WAN 目的地 的 VPN 通訊都需要非重疊位址。VMware 組態會建立存取企業資料中心閘道以進行 VPN 存取時所需的資訊。企業資料中心閘道的管理員會使用在 非 SD-WAN 目的地 VPN 設定期間產生的 IPSec 組態資訊,以將 VPN 通道設定為 非 SD-WAN 目的地。
下列映像顯示如何將網路組態中的唯一 IP 位址區塊指派給 SD-WAN Edge。
網路服務
您可以定義企業網路服務,並在所有設定檔之間使用這些服務。這包括驗證、雲端 Proxy、非 SD-WAN 目的地和 DNS 的服務。定義的網路服務僅在指派給設定檔時才會予以使用。
設定檔
設定檔是一種具名組態,可定義 VLAN、雲端 VPN 設定、有線和無線介面設定,以及網路服務,例如 DNS 設定、驗證設定、雲端 Proxy 設定,以及非 SD-WAN 目的地的 VPN 連線的清單。您可以使用設定檔為一或多個 SD-WAN Edge 定義標準組態。
設定檔可為針對 VPN 設定的 Edge 提供雲端 VPN 設定。雲端 VPN 設定可啟用或停用 Edge 對 Edge 和 Edge 對 非 SD-WAN 目的地 的 VPN 連線。
設定檔也可定義商務原則和防火牆設定的規則和組態。
Edge
您可以將設定檔指派給 Edge,而 Edge 會從設定檔衍生大部分的組態。
您可以使用設定檔、網路或網路服務中定義的大多數設定,而無需在 Edge 組態中進行修改。但是,您可以覆寫 Edge 組態元素的設定,以針對特定案例量身定制 Edge。 其中包括介面、Wi-Fi 無線電設定、DNS、驗證、商務原則和防火牆的設定。
此外,您可以設定 Edge 以擴充設定檔或網路組態中不存在的設定。這包括子網路定址、靜態路由設定,以及用於連接埠轉送和 1:1 NAT 的輸入防火牆規則。
Orchestrator 組態工作流程
VMware 支援多個組態案例。下表列出一些常見案例:
| 案例 | 說明 |
|---|---|
| SaaS | 用於在 Edge 之間、對於非 SD-WAN 目的地或 VMware SD-WAN 站台不需要 VPN 連線的 Edge。此工作流程假設公司網路的定址是使用重疊定址。 |
| 透過 VPN 的 非 SD-WAN 目的地 | 用於需透過 VPN 連線至非 SD-WAN 目的地的 Edge,例如 Amazon Web Services、Zscaler、Cisco ISR 或 ASR 1000 Series。此工作流程假設公司網路的定址是使用非重疊定址,且非 SD-WAN 目的地會定義於設定檔中。 |
| VMware SD-WAN 站台 VPN | 用於需透過 VPN 連線至 VMware SD-WAN 站台 的 Edge,例如 Edge 中樞或雲端 VPN 中樞。此工作流程假設公司網路的定址是使用非重疊定址,且VMware SD-WAN 站台會定義於設定檔中。 |
對於每個案例,請依照下列順序在 SASE Orchestrator 中執行組態:
步驟 1:網路
步驟 2:網路服務
步驟 3:設定檔
步驟 4:Edge
下表提供每個工作流程的快速入門組態的高層級概觀。您可以使用預先設定的網路、網路服務和設定檔組態進行快速入門組態。對於 VPN 組態,修改現有的 VPN 設定檔,並設定 VMware SD-WAN 站台或非 SD-WAN 目的地。最後一步是建立新的 Edge 並加以啟用。
| 快速入門設定步驟 |
SaaS | 非 SD-WAN 目的地 VPN |
VMware SD-WAN 站台 VPN |
|---|---|---|---|
| 步驟 1:網路 | 選取快速入門網際網路 | 選取快速入門 VPN 網路 | 選取快速入門 VPN 網路 |
| 步驟 2:網路服務 | 使用預先設定的網路服務 | 使用預先設定的網路服務 | 使用預先設定的網路服務 |
| 步驟 3:設定檔 | 選取快速入門網際網路設定檔 | 選取快速入門 VPN 設定檔 啟用雲端 VPN 並設定 非 SD-WAN 目的地 |
選取快速入門 VPN 設定檔 啟用雲端 VPN 並設定 VMware SD-WAN 站台 |
| 步驟 4:Edge | 新增 Edge 並啟用 Edge | 新增 Edge 並啟用 Edge |
新增 Edge 並啟用 Edge |
如需詳細資訊,請參閱啟動 SD-WAN Edge。
