AWS 已宣布在 Cloud WAN 上推出了 Tunnel-less Connect。本文档介绍 AWS 组件,以及如何为 AWS 和 VMware SD-WAN 配置这些组件。

新的使用无隧道 BGP 的 AWS CloudWAN CNE Connect 功能提供了一种更简单的方法,可将 AWS 主干网作为“中间一英里”(Middle Mile) 传输网络来构建全局 SD-WAN 网络。通过此功能,VMware SD-WAN 设备可以使用 BGP(边界网关协议)与 AWS Cloud WAN 本机对等互连,而无需使用隧道协议(如 IPSec 或 GRE)。这简化了将客户的 SD-WAN 集成到 AWS 云的过程,并允许客户利用高带宽 AWS 主干在不同地理区域之间建立分支到分支的连接。此功能还支持内置网络分段,从而使客户能够在全球范围构建安全 SD-WAN。

VMware SD-WAN 虚拟 Edge (vEdge) 通常部署在 AWS 所谓的“传输”VPC 中。然后,此传输 VPC 可能会与其他 VPC、TGW 对等互连,或者,在这种情况下,与 Cloud WAN 主干中的 CNE(云网络 Edge)对等互连,以实现与客户已部署到 AWS 中的资源的连接。

对于 Cloud WAN CNE Connect,在传输 VPC 中置备的 vEdge 将使用面向 LAN 的(路由非 WAN)接口与 CNE 建立本机 L3(即,未封装)BGP 对等连接。

AWS 组件

AWS 需要 6 个主要组件:
  • Cloud WAN 核心网络
  • 策略定义
  • 核心网络 Edge (CNE)
  • 传输 VPC
  • VPC 连接
  • Connect 连接

这假定客户在其他 AWS VPC 中已具有其他资源,这些 AWS VPC 使用对等互连到核心网络中 CNE 的 VPC。否则,必须定义核心网络和 CNE,并创建到客户现有工作负载 VPC 的连接。

AWS 配置

  1. 使用以下 VMware 联机文档在 AWS VPC 中创建 vEdge:
    1. 虚拟 Edge 部署指南
    2. VMware SD-WAN AWS CloudFormation 模板 - 绿地
    3. VMware SD-WAN AWS CloudFormation 模板 - 棕地
  2. 在 AWS 控制台上,如果客户的 AWS 部署中尚不存在全局网络,则必须使用 AWS Network Manager 创建一个全局网络。
  3. 创建策略版本。
    1. 策略版本是定义和配置解决方案关键详细信息的位置,如下图所示。
    2. 输入 CNE 使用的 BGP ASN 范围。
    3. 在全局“内部 CIDR 块”(Inside CIDR blocks) 中,CNE 将定义各自的内部 CIDR 块。在相应的文本框中输入 CIDR,如下图所示。
    4. 在相应的文本框中搜索 Edge 位置 (Edge locations),如下图所示。CNE 位置定义将在其中实例化 CNE 的特定 AWS AZ。
      注: 每个 Edge 位置的 ASN 和内部 CIDR 块在上面为全局网络定义的范围内定义。
    5. 在相应的文本框中搜索分段 (Segments),如下图所示。逻辑分段是使用标记定义的。可以标记 VPC 和子网以定义它们所属的分段。在此示例中,格式为:键 =“分段”,值 =“SDWAN”,不过,值可以是任意值。
      注: 使用的任何值都必须与策略中定义的值匹配。
    6. 连接策略指定 VCP 和 Connect 连接所属的分段,以及所使用的条件。在相应的文本框中搜索连接策略 (Attachment Policies),如下图所示。在下面的示例中,“标记-值”(tag-value) 条件在上面定义的“SDWAN”分段定义成员资格。“条件值”(Condition Values) 也是上面定义的键-值对。此键值对必须存在于 VPC 和/或子网中,它们才能成为“分段”的成员。
      注: 这可以说是整个配置中最不直观、最容易出错的部分。如果未看到来自远程工作负载 VPC 的路由,请检查此处。也可以进行其他配置和设置其他条件,但这是在实验室测试中可行的配置和条件。
  4. CNE 连接:使用两种类型的连接:“VPC 连接”(VPC 连接) 和“Connect 连接”(Connect Attachment)。
    1. VPC 连接:每个 SD-WAN 传输 VPC 都将具有一个到其各自 CNE 的 VPC 连接。创建 VPC 连接时,必须在 VPC 中至少指定一个子网。在此示例中,us-west-1 AZ 中的 CNE 与 SD-WAN 传输 VPC 的专用 LAN 子网对等互连。此外,还需要定义分段成员资格的键值对。

      如果已正确配置策略,连接应显示该策略已成为“SDWAN”分段的一部分。将显示正在使用的连接策略规则编号,如下图所示。

    2. Connect 连接是配置“无隧道 (无封装)”(Tunnel-less (No Encapsulation))的位置。由于 Connect 连接配置必须将现有 VPC 连接指定为传输连接 ID,因此必须先配置 VPC 连接。与 VPC 连接一样,必须配置分段成员资格的标记。

      如果已正确配置策略,连接应显示该策略已成为“SDWAN”分段的一部分。请注意,将显示正在使用的连接策略规则编号,对于 Connect 协议,将显示“NO_ENCAP”。请参阅下图。

  5. Connect 对等体:在 Connect 连接下,创建 Connect 对等体。这是根据 ASN 和对等 IP 地址定义 SD-WAN vEdge BGP 对等连接的位置。请参阅下图。

创建后,AWS 控制台将提供两个核心网络 BGP 对等 IP 地址,以在 BGP 邻居关系中的 SD-WAN 端使用。将从上述策略的“Edge 位置”(Edge Locations) 部分中定义的“CIDR 范围内”(Inside CIDR Range)随机选择这些 IP。请参阅下图。

VMware SD-WAN 配置

现在,必须将 BGP 邻居配置为指向 AWS 控制台在 Connect 对等体 (Connect Peers) 下提供的两个 IP 地址。由于这些 BGP 邻居 IP 来自策略中定义的内部 CIDR 范围,因此必须在 Edge 上使用 LAN 端路由接口 (GE3) 创建静态路由,以指向 CNE 邻居 IP。
注: 每个 Connect 对等体都将获取不同的 BGP 核心网络对等 IP 地址,因此,对于 AWS Hub 集群中的每个 vEdge,静态路由和 BGP 邻居配置将有所不同。
  1. 配置静态路由设置,如下图中所示。

  2. 创建 BGP 邻居时,在其他选项 (Additional Options) 下,将“最大跳数”(Max-Hop) 设置为 2 或更多。请参阅下图。
  3. 使用“监控”(Monitor) >“路由”(Routing) >“BGP Edge 邻居状态”(BGP Edge Neighbor State) 验证是否已与配置的邻居 IP 建立 BGP 对等关系。有关“路由”(Routing) 屏幕的直观显示,请参阅下图。