NSX SD-WAN 的方案要能够集中并且简易地进行外点间的连接。
我们在讨论的可能是由外点办公室连往资料中心或总部,或是外点办公室间的互联,像是两个外点办公室间的语音通话等。
因此,这边对于各个办公室与总部之间连线的要求,大致包含以下:
● 可以透过 Internet 的线路或是现有的私有线路进行连线。 ● 无论走那个线路,所有应用间的传输必须要加密。 ● 各个应用跨 VPN 传输时要能够监控效能而且在质量不佳时优化或切换线路。 ● 在有很多个外点时,VPN 的配置可以简化并且集中配置,不用 command line 写到吐出来。 ● 两个外点办公室间有应用连线时,不需要先绕回总部 (Hub and Spoke),可以两个外点办公室间透过中间云网络直连。 前面的几个需求,Velocloud 的 DMPO 机制原本就能完整支援。 而后面这边就是Velocloud Cloud VPN 的主要功能了。 与其他 WAN 方案相比,Velocloud 内支援的 Cloud VPN 有下列的特点: ● 配置极为简化、集中部署,有 N 个外点时不需要做 NxN 个通道配置。 ● VPN 间的加密金钥并非预先设定,而是传输时由 Orchestrator 配置。Orchestrator 建置时有整合 CA 中心,因此是以强固、且时常更换的 PKI 机制来确保加密强度。 ● Cloud VPN 支援外点间 (Spoke & Spoke) 的直接传输,优化应用路径并减少 Latency。 首先下图内大家可以看到管理者透过 Orchestrator 进行的 VPN 配置。 在下面的设定内,我们是直接在 Profile 内进行 VPN 的配置。这边的配置有套用到多少个外点,所有的外点 Edge 设备就都能直接使 VPN 功能生效,无论是3台还是300台 Edge。 在上图内,我们的配置包含了: · Branch to Velocloud Hubs: 这边要选择哪边是用户的 Hub 地点,也就是用户主要的资料中心或是企业总部。当管理者启用这边的功能,并且选择了有哪些点的 Edge 设备是 Hub,所有的外点 Edge 就能与 Hub 的 Edge 间建立 VMPO 通道,达成外点办公室到资料中心 (Hub) 间的应用连接。 · Branch to Branch VPN: · Dynamic Branch to Branch VPN: 下图内是简要的说明。无论我们选择采用Velocloud Hub 还是 Cloud Gateway,在两个外点间的 VPN 通道都是动态建立。 当有应用要进行外点间 Edge to Edge 的连线时,这个应用初始的传输还是会通过中心端 (Hub or Cloud Gateway);但同时 SD-WAN 也会动态开始建立两个外点 Edge 间的 DMPO 通道,而当通道建立后,后续的应用传输就会走直连的最短路径了。 到此为止就已经全部配置好了,我们在 Orchestrator 上面做的总共就是: ● 在共通的 Profile 内启用 Cloud VPN 功能 ● 选择哪些 Edge 是企业的资料中心或总部 ● 启用 Dynamic Branch to Branch VPN ● 启用 Dynamic Branch to Branch VPN 不用设密码,不用一台一台设,各位的一百个外点间的 VPN 就启用了,有比这个更简单地设定吗? 希望上面的说明能让大家对 Velocloud 内 VPN 的机制有进一步的了解。
当这边选择 Enable,就代表要绕通外点办公室间的路由,让两个外点间的应用能够互通。在这边的配置内,我们要选择两个外点间的 VPN 路由绕送是通过用户自己的资料中心 Edge 设备 (Velocloud Hub),或是透过 Velocloud 云上的 Gateway (Cloud Gateway)。
在没有选择 Dynamic Branch to Branch VPN 时,两个外点间的 Traffic 要先送往 Hub or Gateway,再绕回另一个外点。这样的 Latency 会较高,当然不是用户乐见的。因此在这边启用此功能时,两个外点间的传输就会改采用最短路径进行。
本文转载自VMware公众号
奇正科技微信公众号
奇正科技客服微信