本节概要介绍了如何配置通过 Edge 的 NSD 到 VMware Cloud on AWS 网关基于路由的隧道连接,并提供了详细的配置过程。

通过 Edge 的 NSD 到 VMware Cloud on AWS 网关的基于路由的隧道连接概览

下图展示了 VMware SD-WAN 和 VMware Cloud on AWS 的集成,该集成在 VMware SD-WAN Edge 与 VMware Cloud 网关之间使用 IPSec 连接。

过程

本节提供了有关如何在 SD-WAN Edge 与 VMware Cloud 网关之间建立连接的分步过程。
  1. 根据 SDDC 组织的 URL(VMware Cloud Services 登录页面)登录到 VMware Cloud 控制台。在 Cloud Services 平台上,选择“VMware Cloud on AWS”。
  2. 通过单击“网络和安全”(Networking and Security) 选项卡,找到用于 VPN 连接的公用 IP。“VPN 公用 IP”(VPN Public IP) 显示在“概览”(Overview) 窗格下方。

  3. 确定用于流量加密选择(感兴趣的流量)的网络/子网,并记下它们。它们应来自 VMware Cloud 中“网络/安全”(Networking/Security) 的“分段”(Segments)。(可通过单击“网络”(Network) 下的“分段”(Segments) 找到。)
  4. 登录到 SD-WAN Orchestrator,并确认 SD-WAN Edge 的旁边显示有绿色状态图标。

  5. 转到“配置”(Configure) 选项卡,单击网络服务 (Network Services),然后在“通过 Edge 的非 SD-WAN 目标”(Non SD-WAN Destination via Edge) 下,单击新建 (New) 按钮。

  6. 提供通过 Edge 的非 SD-WAN 目标的名称,选择类型,在本例中为“通用 IKEv2 路由器 (基于路由的 VPN)”(Generic IKEv2 Router (Route Based VPN)),然后单击下一步 (Next)

  7. 单击“高级”(Advanced) 按钮,并提供以下详细信息。
    1. 输入在步骤 2 中获取的 VMC 的公用 IP。
    2. 确保将“加密”(encryption) 设置为“AES 128”。
    3. 将“DH 组”(DH group) 更改为“2”。
    4. 启用“PFS”并设置为“2”。
    5. 将“身份验证算法”(Auth Algorithm) 设置为“SHA 1”。
    6. 将通过 BGP 学习子网(如果未配置 BGP,则添加在步骤 3 中捕获的站点子网,如静态路由)。
    7. 单击保存更改 (Save Changes)

  8. 在左侧窗格中,单击配置 (Configure) > Edge

  9. 转到将在其中关联 NSD 的 Edge 的设备设置页面。
  10. 在 Edge 的设备设置中,完成以下操作。
    1. 在“云 VPN”(Cloud VPN) 和“分支到通过 Edge 的非 SD-WAN 目标”(Branch to Non SD-WAN Destination via Edge) 下,单击启用 (Enable) 旁边的复选框。
    2. 在下拉菜单中,选择通过 Edge 的 NSD。

  11. 单击添加 (Add) 按钮并更新以下字段(见下图)。
    1. 选择要从中建立 NSD 隧道的 Edge WAN 链路。
    2. 将“本地 ID 类型”(Local ID Type) 设为“IP 地址”(IP Address)。
    3. “本地 ID”(Local ID) 将是 WAN 链路的公用 IP。
    4. 输入 PSK。
    5. “目标主公用 IP”(Destination Primary Public IP) 是 VMC 网关公用 IP。

  12. 为 Edge 激活 BGP 设置,如下图中所示。

  13. 单击编辑 (Edit) 按钮,然后更新 NSD 邻居的 BGP 参数。
    1. 选择已配置的 NSD 名称。
    2. 选择与 NSD 关联的 Edge WAN 链路。
    3. 将“本地 ASN”(Local ASN) 配置为 65001。
    4. “邻居 IP”(Neighbor IP) 为 169.254.32.2。
    5. 对等 ASN 为 65000(VMC 默认 ASN 为 65000)。
    6. “本地 IP”(Local IP) 为 169.254.32.1 注意:建议使用 169.254.0.0/16 子网中的 /30 CIDR,但以下 VMC 预留地址除外 - 169.254.0.0-169.254.31.255、169.254.101.0-169.254.101.3

  14. 隧道应已在 SD-WAN Orchestrator 上准备就绪,并使用 IPSec 上的 BGP。
  15. 登录到 VMware Cloud 控制台。
  16. 转到“网络和安全”(Networking and Security),然后单击“VPN”选项卡。在“VPN”区域中,选择基于路由的 VPN (Route Based VPN),然后单击添加 VPN (Add VPN)

  17. 提供基于路由的 VPN 的名称并配置以下内容。
    1. 选择名称。(选择以“To_SDWAN_EDGE”开头的名称,以便在故障排除和将来提供支持的过程中可以轻松识别 VPN)。
    2. 选择公用 IP。
    3. 输入远程公用 IP。(Edge WAN 链路公用 IP)。
    4. 输入远程专用 IP - 应与步骤 11c 相同。
    5. 指定 BGP 本地 IP。
    6. 指定 BGP 远程 IP。
    7. 在“隧道加密”(Tunnel Encryption) 下,选择“AES 128”。
    8. 在“隧道摘要算法”(Tunnel Digest Algorithm) 下,选择“SHA1”。
    9. 确保将“完美前向保密”(Perfect Forward Secrecy) 设置为“已启用”(Enabled)。
    10. 输入 PSK,以匹配步骤 12d。
    11. 在“IKE 加密”(IKE Encryption) 下,选择“AES 128”。
    12. 在“IKE 摘要算法”(IKE Digest Algorithm) 下,选择“SHA 1”。
    13. 在“IKE 类型”(IKE Type) 下,选择“IKEv2”。
    14. 在“Diffie Hellman”下,选择“组 2”(Group 2)。
    15. 单击保存 (Save)

  18. 完成配置后,隧道将自动激活,并将继续与对等体(即 SD-WAN EDGE)协商 IKE 阶段 1 和阶段 2 参数。

  19. 在隧道显示(绿色)后,确认 SD-WAN Orchestrator 中通过 Edge 的 NSD 隧道/BGP 状态(转到“监控”(Monitor) >“网络服务”(Network Services))。

  20. 从两端连接的客户端开始向对方的客户端执行 ping 操作,并验证 ping 的可访问性。隧道配置已完成并已验证。