Tento dokument obsahuje pokyny k upgradu partnerské brány VMware vydání 3.3.2 nebo 3.4 na vydání 4.0.

Zařízení Brána SD-WAN Gateway obsahuje následující změny ve vydání 4.0:

  • Nové rozložení systémového disku založené na LVM, které umožňuje vyšší flexibilitu při správě svazků
  • Nová verze jádra
  • Nové a upgradované základní balíčky operačního systému
  • Vylepšené zabezpečení založené na srovnávacích testech centra zabezpečení internetu
Zařízení Brána SD-WAN Gateway obsahuje následující systémové změny ve vydání 4.0:
  • ifupdown se již nepoužívá, namísto něj se používá https://netplan.io/.
    • ifup a ifdown již nejsou k dispozici.
    • Konfigurace sítě je nyní v /etc/netplan oproti /etc/network/.
    • etc/network/ifup.d a /etc/network/ifdown.d již nefungují. Jako umístění síťového dispečera je třeba použít /usr/lib/networkd-dispatcher (dormant.d, no-carrier.d, off.d, routable.d).
  • Zásadní změny v cloud-init. Skripty pro nasazení cloud-init je nutné zkontrolovat a otestovat na kompatibilitu.
  • Síťové nástroje (ifconfig, netstat atd.) se považují za „zastaralé“ a mohou být v budoucích verzích odstraněny.

Konfigurace sítě

ifupdown se již nepoužívá, namísto něj se používá https://netplan.io/. Konfigurace sítě byla přesunuta z /etc/network do /etc/netplan.

Příklad konfigurace sítě (mezera je důležitá!) - /etc/netplan/50-cloud-init.yaml: 
network: 
  version: 2 
  ethernets: 
    eth0:
      addresses: 
        - 192.168.151.253/24 
      gateway4: 192.168.151.1
      nameservers: 
        addresses:
          - 8.8.8.8 
          - 8.8.4.4 
        search: [] 
      routes: 
        - to: 192.168.0.0/16
          via: 192.168.151.254
          metric: 100

     eth1:
      addresses: 
        - 192.168.152.251/24 
      gateway4: 192.168.152.1
      nameservers: 
        addresses: 
          - 8.8.8.8 
        search: []
Konfigurace sítě se po každém spuštění vygeneruje znovu. Chcete-li provést změny v konfiguraci umístění, deaktivujte síťovou konfiguraci pro cloudovou inicializaci: 
echo 'network: {config: disabled}' > /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg

Cloud-init

Balíček cloud-init byl upgradován na verzi 20.2. Více informací o balíčku cloud-init naleznete zde: https://cloudinit.readthedocs.io/en/stable/index.html

Příklad 1: jednoduchý

meta-data:

instance-id: vcg1

local-hostname: vcg1

user-data: 
#cloud-config 
hostname: vcg1 
password: Velocloud123
chpasswd: {expire: False} 
ssh_pwauth: True

Příklad 2: nový styl konfigurace sítě (soubor network-config)

meta-data: 
instance-id: vcg1 
local-hostname: vcg1
user-data: 
#cloud-config
hostname: vcg1
password: Velocloud123
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - ssh-rsa  …  rsa-key

velocloud: 
  vcg: 
    vco: demo.velocloud.net 
    activation_code: F54F-GG4S-XGFI 
    vco_ignore_cert_errors: false 

runcmd:
  - 'echo “Welcome to VeloCloud”'

network-config Příklad 1: 

version: 2
ethernets:
  eth0:
    addresses: 
      - 192.168.152.55/24
    gateway4: 192.168.152.1
    nameservers: 
      addresses:
        - 192.168.152.1 
  eth1:
    addresses:
      - 192.168.151.55/24
    gateway4: 192.168.151.1
    nameservers: 
      addresses:
        - 192.168.151.1

network-config Příklad 2:

POZNÁMKA: Pokud je v bráně více rozhraní a potřebujete vybrat pro výchozí bránu určité rozhraní jako upřednostňované, lze použít níže uvedenou konfiguraci (s hodnotou metriky) a vybrat správné rozhraní.

version: 2
ethernets:
eth0:
  addresses: [192.168.82.1/24]
eth1:
  addresses: [70.150.1.1/24]
  routes:
  - {metric: 1, to: 0.0.0.0/0, via: 70.150.1.254}
eth2:
  addresses: [70.155.1.1/24]
  routes:
  - {metric: 2, to: 0.0.0.0/0, via: 70.155.1.254}

Síťové nástroje

Síťové nástroje jako ifconfig, netstat, route atd. jsou považovány za „zastaralé“. Navrhované náhrady za software Net-tools jsou uvedeny v tabulce níže. Tyto příkazy zobrazí pouze informace pro hostitele Linux, a ne pro síť SD-WAN Overlay. POZNÁMKA: Více informací získáte pomocí příkazu: man ip.

Staré síťové nástroje Nové odpovídající síťové nástroje
arp ip n (ip neighbor)
ifconfig ip a (ip addr), ip link, ip -s (ip -stats)
nameif ip link, ifrename
netstat ss, ip route (pro netstat-r), ip -s link (pro netstat -i), ip maddr (pro netstat-g)
route ip r (ip route)

Vzorový výstup příkazů pro síťové nástroje

Vzorový výstup obsahuje potvrzení, že příkaz proběhl úspěšně. Níže jsou uvedeny vzorové výstupy z příkazů ip n (ip neighbor), ip a (ipaddr) a ip link.

ip n (ip neighbor): 
root@SS-gateway-1:~# ip n 
192.168.0.100 dev eth2 lladdr 00:50:56:84:85:d4 REACHABLE 
192.168.0.250 dev eth2 lladdr 00:50:56:84:97:66 REACHABLE 
13.1.1.2 dev eth0 lladdr 00:50:56:84:e7:fa REACHABLE 
root@SS-gateway-1:~#
ip a (ipaddr): 
root@SS-gateway-1:~# ip a 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
    inet 127.0.0.1/8 scope host lo 
       valid_lft forever preferred_lft forever 
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 4096 
    link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 
    inet 13.1.1.1/24 brd 13.1.1.255 scope global eth0 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:a009/64 scope link 
       valid_lft forever preferred_lft forever 
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 
    link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 
    inet 101.101.101.1/24 brd 101.101.101.255 scope global eth1 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:a6ab/64 scope link 
       valid_lft forever preferred_lft forever 
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 
    link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 
    inet 192.168.0.201/24 brd 192.168.0.255 scope global eth2 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:bc75/64 scope link 
       valid_lft forever preferred_lft forever 
6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 4096 
    link/none 
    inet 169.254.129.1/32 scope global gwd1 
       valid_lft forever preferred_lft forever 
    inet6 fe80::27d5:9e46:e7f7:7198/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever 
root@SS-gateway-1:~#
ip link 
root@SS-gateway-1:~# ip link 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 4096 
    link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 
    link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 
    link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 
6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 4096 
    link/none 
root@SS-gateway-1:~#

Možnosti upgradu

Poznámka: Níže uvedené kroky vycházejí z předpokladu, že chcete ponechat stejnou IP adresu a název Brána SD-WAN Gateway pro nové zařízení Brána SD-WAN Gateway, nasazené ve vydání 4.0. Chcete-li však vytvořit nové zařízení Brána SD-WAN Gateway s jinou IP adresou, můžete postupovat podle nových procedur Brána SD-WAN Gateway.

Kvůli podstatným změnám v rozložení disku a systémových souborech není možné provést lokální upgrade ze starších vydání na vydání 4.0. Migrace bude vyžadovat nasazení nových systémů Brána SD-WAN Gateway 4.0 a vyřazení systémů, na nichž běží starší kód.

V případě Brány SD-WAN Gateway VPN nebo Brány SD-WAN Gateway NAT s dobře známými veřejnými IP adresami postupujte následujícím způsobem, jestliže je třeba veřejnou IP adresu Brána SD-WAN Gateway zachovat.

Postup (Procedure): (VNP nebo NAT Brány SD-WAN Gateway s dobře známými veřejnými IP adresami (VNP or NAT with Well-Known Public IP Addresses))
  1. Spusťte nový systém Brána SD-WAN Gateway s pomocí bitové kopie vydání 4.0. Více informací (instalační procedury pro bránu) naleznete v průvodci nasazením pro svou platformu.
  2. Vypněte starý systém Brána SD-WAN Gateway. Vypněte starý VM Brána SD-WAN Gateway (spuštěním příkazu “sudo poweroff” na konzole rozhraní příkazového řádku nebo vypnutím pomocí dostupných možností hypervizoru).
  3. Přeneste veřejnou IP adresu do nového systému: zaktualizujte záznam NAT, aby odkazoval na nový systém Brána SD-WAN Gateway, nebo nakonfigurujte veřejnou IP adresu v novém síťovém rozhraní Brána SD-WAN Gateway. Nasaďte novou bránu s výše uvedenými příklady cloud-int pomocí stejné IP adresy jako předchozí Brána SD-WAN Gateway.
  4. Získejte aktivační klíč z existujícího záznamu Brána SD-WAN GatewaySD-WAN Orchestrator (jak je popsáno v postupu).
    1. SD-WAN Orchestrator vyberte v levém navigačním panelu možnost Brány (Gateways).
    2. Na obrazovce Brány (Gateways) klikněte na Brána SD-WAN Gateway a vyberte je.
    3. Na obrazovce zvoleného Brána SD-WAN Gateway klikněte na šipku dolů vedle názvu Brána SD-WAN Gateway a otevřete informační pole.
    4. Aktivační klíč je umístěn v dolní části informačního pole, viz obrázek níže.

  5. Nastavte vlastnost systému „gateway.activation.validate.deviceId” na False, viz obrázek níže. V případě potřeby naleznete více informací v sekci Systémové vlastnosti (System Properties) v příručce operátora VMware SD-WAN.

  6. Reaktivujte nový systém Brána SD-WAN Gateway: v příkazovém řádku spusťte: “sudo /opt/vc/bin/activate.py -s <vco_address> <activation_code>”
  7. Obnovte vlastnost systému „gateway.activation.validate.deviceId“ na původní hodnotu (je-li třeba).

    Brána SD-WAN Gateway je nyní zaregistrováno a připraveno přijmout připojení ze zařízení Edge.

Poznámka: Reaktivaci Brána SD-WAN Gateway lze provést přes cloud-int, jak je popsáno v sekci Uživatelská data v tomto dokumentu.

Výstup z příkladu aktivace (Activation Example Output)

root@gateway/opt/vc# /opt/vc/bin/activate.py FLM6-CSV6-REJS-XFR5 -i -s 169.254.8.2

Activation successful, VCO overridden back to 169.254.8.2 root@SS1-gateway-2:/opt/vc#

Brány SD-WAN Gateway bez známých veřejných IP adres

Tato sekce  je určena pouze pro Brány SD-WAN Gateway bez známé veřejné IP adresy, například Brány SD-WAN Gateway VPN. Platí-li tento scénář, postupujte podle návodu níže.

Postup: ( Brány SD-WAN Gateway bez známých veřejných IP adres) (Procedure: (Without Well-known Public IPs)
  1. Spusťte nový systém Brána SD-WAN Gateway. Je-li třeba, nahlédněte do průvodce nasazením pro svou platformu (instalační procedury pro bránu).
  2. Aktivujte nový systém Brána SD-WAN Gateway.
  3. Přidejte nové Brána SD-WAN Gateway do fondu SD-WAN Orchestrator Brána SD-WAN Gateway. Více informací naleznete v části „Správa brány (Gateway Management)“ v příručce operátora VMware SD-WAN.
    1. Brána SD-WAN Gateway je nyní zaregistrováno a připraveno přijmout připojení ze zařízení Edge.
  4. Odstraňte staré Brána SD-WAN Gateway z fondu SD-WAN Orchestrator Brána SD-WAN Gateway. Více informací naleznete v sekci „Správa brány (Gateway Management)“ v příručce operátora VMware SD-WAN.
  5. Vyřazení starého VM Brána SD-WAN Gateway. (Odstraňte záznam Brána SD-WAN GatewaySD-WAN Orchestrator a vyřaďte instanci VM z provozu.)

Získání aktivačního klíče brány přes rozhraní API

Při nasazení pomocí metody rozhraní API použijte následující příkaz: „network/getNetworkGateways“.

Vzorová odpověď: 

{"jsonrpc":"2.0","result":[{"id":1, "activationKey":"69PX-YHY2-N5PZ-G3UW …

Konfigurace výchozího rozhraní v datové rovině

Konfigurace sítě brány VMware SD-WAN Gateway

V příkladu s obrázkem níže (VRF/VLAN Hand Off to PE) předpokládáme, že eth0 je rozhraní směřující do veřejné sítě (internet) a eth1 je rozhraní směřující do interní sítě (VRF zákazníka přes PE). Konfigurace peeringu BGP je spravována v systému VCO dle zákazníka/VRF v části „Konfigurovat (Configure) > Zákazník (Customer)“. Mějte na paměti, že IP adresu každého VRF lze konfigurovat podle zákazníka. IP adresa VRF pro správu zdědí IP adresu nakonfigurovanou na rozhraní brány SD-WAN (SD-WAN Gateway interface) v systému Linux.

VRF pro správu se vytvoří u brány SD-WAN Gateway a používá se k odesílání periodického obnovení ARP na IP adresu výchozí brány pro určení MAC adresy dalšího kroku. Doporučuje se, aby byl za tímto účelem na routeru PE nastaven vyhrazený VRF. Stejné VRF pro správu lze použít ve směrovači PE také k odeslání sondy IP SLA do brány SD-WAN (SD-WAN Gateway) za účelem kontroly stavu brány SD-WAN (SD-WAN Gateway) (brána SD-WAN má stavový odpovídač ICMP, který bude reagovat na příkaz ping pouze v případě, že je služba aktivní). Partnerské relace protokolu BGP nejsou v rámci VRF pro správu vyžadovány. Pokud není VRF pro správu nastaven, můžete jako VRF pro správu použít jeden z VRF zákazníka, ale není to doporučeno.

Krok 1: Upravte parametry /etc/config/gatewayd a zadejte správné VCMP a rozhraní WAN. Rozhraní VCMP je veřejné rozhraní, které slouží k ukončení překryvných tunelů. Rozhraní WAN je v tomto kontextu rozhraním handoff. 
      "vcmp.interfaces":[
                   "eth0"
               ], 
         (..snip..)

               "wan": [
                   "eth1"
               ],

Krok 2: Nakonfigurujte VRF pro správu. Toto VRF používá brána SD-WAN (SD-WAN Gateway) v rámci ARP pro určení MAC adresy dalšího kroku (směrovač PE). Stejnou adresu MAC dalšího kroku použijí všechna VRF vytvořená bránou SD-WAN (SD-WAN Gateway). Je třeba nakonfigurovat parametry VRF pro správu v umístění /etc/config/gatewayd.

VRF pro správu je to samé VRF, které používá směrovač PE k odeslání sondy IP SLA. Brána SD-WAN (Gateway SD-WAN) reaguje na sondu ICMP pouze v případě, že je služba aktivní a je připojeno zařízení Edge. V následující tabulce najdete popis jednotlivých parametrů, které je třeba definovat. Tento příklad využívá jako VRF pro správu: VLAN 802.1q s ID 1000.

mode QinQ (0x8100), QinQ (0x9100), žádné, 802.1Q, 802.1ad
c_tag Hodnota C-tag pro zapouzdření QinQ nebo ID VLAN 802.1Q pro zapouzdření 802.1Q
s_tag Hodnota S-Tag pro zapouzdření QinQ
interface Rozhraní handoff, obvykle eth1 
      "vrf_vlan": {
          "tag_info": [
             {
                 "resp_mode": 0,
                 "proxy_arp": 0,
                 "c_tag": 1000, 
                 "mode": "802.1Q",
                 "interface": "eth1",
                 "s_tag": 0
             }
          ]
      },

Krok 3: Upravte parametry /etc/config/gatewayd-tunnel tak, aby zahrnovaly obě rozhraní parametru WAN. Změny uložte.

wan="eth0 eth1"

Odebrání blokovaných podsítí (Subnets)

Ve výchozím nastavení brána SD-WAN (Gateway SD-WAN) blokuje provoz na portu 10.0.0.0/8 a 172.16.0.0/14. Před použitím této brány SD-WAN j(SD-WAN Gateway)e nutné jejich odebrání, protože očekáváme, že brána SD-WAN bude odesílat provoz také do privátních podsítí. Pokud tento soubor neupravíte a pokusíte se odeslat provoz do zablokovaných podsítí, najdete ve složce /var/log/gwd.log následující zprávy:

2015-12-18T12:49:55.639  ERR     [NET] proto_ip_recv_handler:494 Dropping packet destined for
10.10.150.254, which is a blocked subnet.
2015-12-18T12:52:27.764  ERR     [NET] proto_ip_recv_handler:494 Dropping packet destined for 
10.10.150.254, which is a blocked subnet. [message repeated 48 times]
2015-12-18T12:52:27.764  ERR     [NET] proto_ip_recv_handler:494 Dropping packet destined for 
10.10.150.10, which is a blocked subnet.
Krok 1: Na bráně SD-WAN upravte soubor /opt/vc/etc/vc_blocked_subnets.jsonfile. Zjistíte, že tento soubor má původně následující parametry: 
[
            {
                        "network_addr": "10.0.0.0",
                        "subnet_mask": "255.0.0.0"
            },
            {
            "network_addr": "172.16.0.0",
            "subnet_mask": "255.255.0.0"
            }
]
Krok 2: Odeberte obě sítě. Po dokončení úprav by měl soubor vypadat takto: Změny uložte. 
[
]

Krok 3: Restartujte proces brány SD-WAN (SD-WAN Gateway) použitím příkazu sudo /opt/vc/bin/vc_procmon restart.