本节提供了有关如何在 SD-WAN Gateway 和 VMware Cloud 网关之间建立连接的分步过程。

  1. 根据 SDDC 组织的 URL(VMware Cloud Services 登录页面)登录到 VMware Cloud 控制台。

    在 Cloud Services 平台上,选择 VMware Cloud on AWS

  2. 通过单击网络和安全 (Networking and Security) 选项卡,找到用于 VPN 连接的公用 IP。“VPN 公用 IP”(VPN Public IP) 显示在概览 (Overview) 窗格下方。

  3. 确定用于流量加密选择(感兴趣的流量)的网络/子网,并记下它们。它们应来自 VMware Cloud 中“网络/安全”(Networking/Security) 的“分段”(Segments)。(可通过单击网络 (Network) 下的分段 (Segments) 找到。
  4. 登录到 SD-WAN Orchestrator 并确认 SD-WAN Edge 的旁边显示有绿色状态图标。

  5. 转到配置 (Configure) 选项卡,单击网络服务 (Network Services),然后在非 VeloCloud 站点 (Non-VeloCloud Sites) 下,单击新建 (New) 按钮。

  6. 提供非 VeloCloud 站点的名称,选择类型,在本例中为“通用防火墙 (基于策略的 VPN)”(Generic Firewall (Policy Based VPN)),然后输入 VMC 中的公用 IP(在步骤 2 中获取),然后单击下一步 (Next)

  7. 单击高级 (Advanced) 按钮,然后在“主 VPN 网关”(Primary VPN Gateway) 下面:
    1. 更改为所需的 PSK。
    2. 确保将“加密”(encryption) 设置为 AES 256。
    3. DH 组 (DH group) 更改为 5。
    4. 启用 PFS 并设置为 5。
    5. 输入在步骤 3 中捕获的站点子网。
    6. 单击复选框以启用隧道
    7. 单击保存更改 (Save Changes)

  8. 单击查看 IKE/IPSec 模板 (View IKE/IPSec Template),将信息复制到文本文件中,然后关闭该窗口。

  9. 在左侧窗格中,单击配置 (Configure) > 配置文件 (Profiles)

  10. 转到关联的 SD-WAN Edge 的配置文件,然后单击相应的配置文件。
  11. 在相应的配置文件下:
    1. 转到设备 (Device) 选项卡,在云 VPN (Cloud VPN)分支到非 VeloCloud 站点 (Branch to Non-VeloCloud Site) 下,单击启用 (Enable) 旁边的复选框。
    2. 在下拉菜单中,选择已创建的 NVS 网络服务(从步骤 5 开始)。
    3. 单击屏幕顶部的保存更改 (Save Changes) 按钮。

  12. 隧道应已在 SD-WAN Orchestrator 上准备就绪。
  13. 登录到 VMware Cloud 控制台。
  14. 转到网络和安全 (Networking and Security),然后单击 VPN 选项卡。在 VPN 区域中,选择基于策略的 VPN (Policy Based VPN),然后单击添加 VPN (Add VPN)

  15. 提供“基于策略的 VPN”的名称并配置以下内容:
    1. 选择名称。(选择以“To_SDWAN_Gateway”开头的名称,以便在故障排除和将来提供支持的过程中可以轻松识别 VPN)。
    2. 选择公用 IP。
    3. 输入远程公用 IP。
    4. 输入远程专用 IP。注意:这需要致电 GSS 支持部门,请参考以下知识库文章,并在联系支持部门时提及知识库 ID。https://ikb.vmware.com/s/article/78196。
    5. 指定位于 SD-WAN Orchestrator 上的远程网络。
    6. 选择本地网络。
    7. 隧道加密 (Tunnel Encryption) 下,选择 AES 256。
    8. 隧道摘要算法 (Tunnel Digest Algorithm) 下,选择 SHA1。
    9. 确保将完美前向保密 (Perfect Forward Secrecy) 设置为启用 (Enable)
    10. 输入 PSK,以匹配步骤 7A。
    11. IKE 加密 (IKE Encryption) 下,选择 AES 256。
    12. IKE 摘要算法 (IKE Digest Algorithm) 下,选择 SHA 1。
    13. IKE 类型 (IKE Type) 下,选择“IKEv2”。
    14. Diffie-hellman 下,选择“组 5”(Group 5)。
    15. 单击保存 (Save)

  16. 完成配置后,隧道将自动启用,并将继续与对等方(即 SD-WAN Gateway)协商 IKE 阶段 1 和阶段 2 参数。

  17. 隧道显示(绿色)后,请确认隧道在 SD-WAN Orchestrator 中显示为绿色(转到监控 (Monitor) > 网络服务 (Network Services))

  18. 从两端连接的客户端开始向对方的客户端执行 ping 操作,并验证 ping 的可访问性。

    隧道配置已完成并已验证。