VMware SD-WAN Edge 通常部署在 Amazon Web Services (AWS) 上的 Transit VPC 中。AWS 引入了对 AWS TGW (Transit Gateway) Connect 服务的支持,以使 SD-WAN 设备连接到 Transit Gateway。VMware SD-WAN Edge 现在具有一项功能(LAN 上的 BGP over GRE 支持),该功能支持在 VMware SD-WAN Edge 上使用 AWS TGW Connect 服务连接到 AWS Transit Gateway。

对于 AWS TGW Connect 服务,在 Transit VPC 中置备的 Edge 需要使用 LAN(路由、非 WAN)接口来设置 GRE 隧道。这样可有效使用在 ENI 上配置的专用 IP 来设置到 Transit Gateway 的 GRE 隧道。

Amazon Web Services (AWS) 配置过程

  1. 在 AWS 门户中,在特定区域置备 AWS Transit Gateway。该同一区域中必须具有置备了 VMware SD-WAN Edge 的 Transit VPC。
    检查要配置的 Transit Gateway CIDR 块,如下图中所示。
    注: 该块中的 IP 将用于 AWS TGW 上的 GRE 端点。Amazon ASN 稍后将在 VMware SD-WAN Edge 上的 BGP 配置中使用。
  2. 为 Transit VPC 创建 VPC 连接,以指定 Edge 或 ENI 的 LAN 接口所在的子网。

    创建 VPC 连接后,状态 (State) 列中将显示可用 (Available)

  3. 使用 VPC 连接创建 Connect 连接。

    创建 Connect 连接后,状态 (State) 列中将显示可用 (Available)

  4. 创建一个 Connect 对等体,该对等体将转换为 GRE 隧道。指定以下参数:“Transit Gateway GRE 地址”(Transit Gateway GRE Address)、“对等体 GRE 地址”(Peer GRE Address)、“CIDR 块内的 BGP”(BGP Inside CIDR block) 以及“对等体 ASN”(Peer ASN)。
    注: “CIDR 块内的 BGP”(BGP Inside CIDR block) 和“对等体 ASN”(Peer ASN) 必须与 VMware SD-WAN Edge 上配置的内容相匹配。
    在上述示例中:
    • 172.43.0.24 是 AWS TGW 上的 GRE 外部 IP 地址,该 IP 是从 Transit Gateway CIDR 块中分配的。
    • 10.1.1.30 是 VMware SD-WAN Edge 上的 GRE 外部 IP 地址。
    • 169.254.31.0/29 是内部 CIDR 块。该块中的地址将用于 BGP 邻居。
    • 169.254.31.1 是 VMware SD-WAN Edge 上的 IP 地址。
    • 169.254.31.2 和 169.254.31.3 是用于 AWS TGW 上的 BGP 的地址。
    • 64512 是在 AWS TGW 上配置的 BGP ASN。
    • 65000 是在 VMware SD-WAN Edge 上配置的 BGP ASN。
    Transit VPC 的 VPC 资源映射列出了 LAN 端子网和路由表,如下图中所示。
  5. 在 Transit VPC 路由表中,为 TGW CIDR 块添加一个路由,并将目标或下一跃点作为 VPC 连接。
    注: 例如,172.43.0.0/24 是 AWS TGW CIDR 块。
  6. 在同一路由表中,确认 LAN ENI 子网具有明确的子网关联。

VMware SASE Orchestrator 配置过程

  1. VMware SASE Orchestrator 上,转到网络服务 (Network Services) > 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge),然后为 GRE 隧道配置 AWS Transit Gateway Connect。
    注: 在为 GRE 隧道配置 AWS Transit Gateway Connect 服务时,请参阅以下重要说明:
    • 可配置的唯一“隧道模式”(Tunnel Mode) 参数为“活动/活动”(Active/Active)。
    • 对于使用 AWS Transit Gateway 服务的 GRE 隧道,不存在保持活动状态机制。
    • 默认情况下,将为 GRE 隧道配置 BGP。BGP 保持活动状态将用于 BGP 邻居状态。
    • Edge 不支持跨多个隧道的 ECMP。因此,只会将一个 GRE 隧道用于输出流量。
  2. 在“配置文件”(Profile) 下,启用“云 VPN”(Cloud VPN),启用“通过 Edge 的非 SD-WAN 目标”(Non SD-WAN Destination via Edge),然后选择 NSD。
  3. 在“通过 Edge 的非 SD-WAN 目标”(Non SD-WAN Destinations via Edge) 中的 Edge 配置下,选择已配置的 NSD。
  4. 对于特定 NSD,选择 + 符号以配置 GRE 隧道参数。进行以下配置:
    • “隧道源”(Tunnel Source) 为 LAN 接口
    • “隧道源 IP”(Tunnel Source IP) 为在 LAN 接口上配置的 IP 地址;如果是动态指定,请使用“远程诊断”(Remote Diagnostics) >“接口统计信息”(Interface Stats) 来获取 IP 地址
    • TGW ASN
    • “主隧道”(Primary Tunnel) 参数可以通过提供“目标 IP”(Destination IP) 来配置,该 IP 为 TGW Connect 对等体上提供的 IP 地址
    • “内部网络/掩码”(Internal Network/Mask) 必须与在 TGW Connect 对等体内部配置中指定的相同。
    • 可以为“目标 IP”(Destination IP) 和“内部网络/掩码”(Internal Network/Mask) 配置“辅助隧道”(Secondary Tunnel) 参数。
    注: 默认情况下,将为此功能启用 BGP。系统将预填充“本地 ASN”(Local ASN) 字段。

    此时将显示通过 Edge 的非 SD-WAN 配置,如下图中所示。

  5. 在上述配置中,将自动为邻居创建 BGP 配置。将自动为两个 BGP 邻居创建到 AWS Transit Gateway 的每个 GRE 隧道配置,其中包含有关“链路名称”(Link Name)、“邻居 IP”(Neighbor IP)、“隧道类型”(Tunnel Type) 和“ASN”的信息。
    其他选项 (Additional Options) 中,eBGP“最大跳数”(Max-Hop) 配置为 2,因为这是 TGW Connect 服务的要求。其他已填充的参数为“保持活动状态”(Keep Alive) 和“保持定时器”(Hold Timer),这两个参数是根据 AWS 提供的建议填充的。另外,还预填充了 BGP“本地 IP”(Local IP)。这些参数无法修改。
    注:
    • 将自动添加两个 NSD BGP 邻居。
    • 其他选项 (Additional Options) 字段将针对“最大跳数”(Max-Hop)、“本地 IP”(Local IP)、“保持活动状态”(Keep Alive) 和“保持定时器”(Hold Timer) 的值进行修改。
  6. 对于 GRE 隧道端点,在 VMware SD-WAN Edge 上配置一个静态路由,以指定下一跃点,从而将子网默认网关和接口指定为 LAN 接口。