作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

NSX SD-WAN的方案要能夠集中並且簡易地進行外點間的連接。我們在討論的可能是由外點辦公室連往資料中心或總部,或是外點辦公室間的互聯,像是兩個外點辦公室間的語音通話等。因此,這邊對於各個辦公室與總部之間連線的要求,大致有包含如下:

  • 可以透過Internet的線路或是現有的私有線路進行連線。
  • 當然,無論走那個線路,所有應用間的傳輸必須要加密。
  • 當然,各個應用跨VPN傳輸時要能夠監控效能而且在品質不佳時優化或切換線路。
  • 在有很多個外點時,VPN的配置可以簡化並且集中配置,不用command line寫到吐出來。
  • 兩個外點辦公室間有應用連線時,不需要先繞回總部(Hub and Spoke),可以兩個外點辦公室間透過中間雲網路直連。

前面的幾個需求,Velocloud的DMPO機制原本就能完整支援。而後面這邊就是Velocloud Cloud VPN的主要功能了。與其他WAN方案相比,Velocloud內支援的Cloud VPN有下列的特點:

  • 配置極為簡化、集中部署,有N個外點時不需要做NxN個通道配置。
  • VPN間的加密金鑰並非預先設定,而是傳輸時由Orchestrator配置。Orchestrator建置時有整合CA中心,因此是以強固、且時常更換的PKI機制來確保加密強度。
  • Cloud VPN支援外點間(Spoke & Spoke)的直接傳輸,優化應用路徑並減少Latency。

首先下圖內大家可以看到管理者透過Orchestrator進行的VPN配置。在下面的設定內,我們是直接在Profile內進行VPN的配置。這邊的配置有套用到多少個外點,所有的外點Edge設備就都能直接VPN功能生效,無論是3台還是300台Edge。

在上圖內,我們的配置包含了:

  • Branch to Velocloud Hubs:
    這邊會要選擇哪邊是用戶的Hub地點,也就是用戶主要的資料中心或是企業總部。當管理者啟用這邊的功能,並且選擇了有哪些點的Edge設備是Hub,所有的外點Edge就能與Hub的Edge間建立VMPO通道,達成外點辦公室到資料中心(Hub)間的應用連接

 

  • Branch to Branch VPN:
    當這邊選擇Enable,就代表要繞通外點辦公室間的路由,讓兩個外點間的應用能夠互通。在這邊的配置內,我們要選擇兩個外點間的VPN路由繞送是通過用戶自己的資料中心Edge設備 (Velocloud Hub),或是透過Velocloud雲上的Gateway (Cloud Gateway)

 

  • Dynamic Branch to Branch VPN:
    在沒有選擇Dynamic Branch to Branch VPN時,兩個外點間的Traffic要先送往Hub or Gateway,再繞回另一個外點。這樣的Latency會較高,當然不是用戶樂見的。因此在這邊啟用此功能時,兩個外點間的傳輸就會改採用最短路徑進行。

下圖內是簡要的說明。無論我們選擇是採用Velocloud Hub或是Cloud Gateway,在兩個外點間的VPN通道都會是動態建立。當有應用要進行外點間Edge to Edge的連線時,這個應用初始的傳輸還是會通過中心端 (Hub or Cloud Gateway);但同時SD-WAN也會動態開始建立兩個外點Edge間的DMPO通道,而當通道建立後,後續的應用傳輸就會走直連的最短路徑了。

 

然後呢?然後就已經配置好啦。我們在Orchestrator上面做的總共就是

  • 在共通的Profile內啟用Cloud VPN功能(打勾)
  • 選擇哪些Edge是企業的資料中心或總部(點擊,選擇)
  • 啟用Branch到Branch間的連線(打勾,選擇一個Hub)
  • 啟用Dynamic Branch to Branch VPN(打勾)

不用設密碼,不用一台一台設,各位的一百個外點間的VPN就啟用了啊,有比這個更簡單地設定嗎??希望上面的說明能讓大家對Velocloud內VPN的機制有進一步的了解。