Tento dokument obsahuje pokyny k upgradu partnerské brány VMware vydání 3.3.2 nebo 3.4 na vydání 4.0.

Zařízení Brána SD-WAN Gateway obsahuje následující změny ve vydání 4.0:

  • Nové rozložení systémového disku založené na LVM, které umožňuje vyšší flexibilitu při správě svazků
  • Nová verze jádra
  • Nové a upgradované základní balíčky operačního systému
  • Vylepšené zabezpečení založené na srovnávacích testech centra zabezpečení internetu
Zařízení Brána SD-WAN Gateway obsahuje následující systémové změny ve vydání 4.0:
  • ifupdown se již nepoužívá, namísto něj se používá https://netplan.io/.
    • ifup a ifdown již nejsou k dispozici.
    • Konfigurace sítě je nyní v /etc/netplan oproti /etc/network/.
    • etc/network/ifup.d a /etc/network/ifdown.d již nefungují. Jako umístění síťového dispečera je třeba použít /usr/lib/networkd-dispatcher (dormant.d, no-carrier.d, off.d, routable.d).
  • Zásadní změny v cloud-init. Skripty pro nasazení cloud-init je nutné zkontrolovat a otestovat na kompatibilitu.
  • Síťové nástroje (ifconfig, netstat atd.) se považují za „zastaralé“ a mohou být v budoucích verzích odstraněny.

Konfigurace sítě

ifupdown se již nepoužívá, namísto něj se používá https://netplan.io/. Konfigurace sítě byla přesunuta z /etc/network do /etc/netplan.

Příklad konfigurace sítě (mezera je důležitá!) - /etc/netplan/50-cloud-init.yaml: 
network: 
  version: 2 
  ethernets: 
    eth0:
      addresses: 
        - 192.168.151.253/24 
      gateway4: 192.168.151.1
      nameservers: 
        addresses:
          - 8.8.8.8 
          - 8.8.4.4 
        search: [] 
      routes: 
        - to: 192.168.0.0/16
          via: 192.168.151.254
          metric: 100

     eth1:
      addresses: 
        - 192.168.152.251/24 
      gateway4: 192.168.152.1
      nameservers: 
        addresses: 
          - 8.8.8.8 
        search: []
Konfigurace sítě se po každém spuštění vygeneruje znovu. Chcete-li provést změny v konfiguraci umístění, deaktivujte síťovou konfiguraci pro cloudovou inicializaci: 
echo 'network: {config: disabled}' > /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg

Cloud-init

Balíček cloud-init byl upgradován na verzi 20.2. Více informací o balíčku cloud-init naleznete zde: https://cloudinit.readthedocs.io/en/stable/index.html

Příklad 1: jednoduchý

meta-data:

instance-id: vcg1

local-hostname: vcg1

user-data: 
#cloud-config 
hostname: vcg1 
password: Velocloud123
chpasswd: {expire: False} 
ssh_pwauth: True

Příklad 2: nový styl konfigurace sítě (soubor network-config)

meta-data: 
instance-id: vcg1 
local-hostname: vcg1
user-data: 
#cloud-config
hostname: vcg1
password: Velocloud123
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - ssh-rsa  …  rsa-key

velocloud: 
  vcg: 
    vco: demo.velocloud.net 
    activation_code: F54F-GG4S-XGFI 
    vco_ignore_cert_errors: false 

runcmd:
  - 'echo “Welcome to VeloCloud”'

network-config Příklad 1: 

version: 2
ethernets:
  eth0:
    addresses: 
      - 192.168.152.55/24
    gateway4: 192.168.152.1
    nameservers: 
      addresses:
        - 192.168.152.1 
  eth1:
    addresses:
      - 192.168.151.55/24
    gateway4: 192.168.151.1
    nameservers: 
      addresses:
        - 192.168.151.1

network-config Příklad 2:

POZNÁMKA: Pokud je v bráně více rozhraní a potřebujete vybrat pro výchozí bránu určité rozhraní jako upřednostňované, lze použít níže uvedenou konfiguraci (s hodnotou metriky) a vybrat správné rozhraní.

version: 2
ethernets:
eth0:
  addresses: [192.168.82.1/24]
eth1:
  addresses: [70.150.1.1/24]
  routes:
  - {metric: 1, to: 0.0.0.0/0, via: 70.150.1.254}
eth2:
  addresses: [70.155.1.1/24]
  routes:
  - {metric: 2, to: 0.0.0.0/0, via: 70.155.1.254}

Síťové nástroje

Síťové nástroje jako ifconfig, netstat, route atd. jsou považovány za „zastaralé“. Navrhované náhrady za software Net-tools jsou uvedeny v tabulce níže. Tyto příkazy zobrazí pouze informace pro hostitele Linux, a ne pro síť SD-WAN Overlay. POZNÁMKA: Více informací získáte pomocí příkazu: man ip.

Staré síťové nástroje Nové odpovídající síťové nástroje
arp ip n (ip neighbor)
ifconfig ip a (ip addr), ip link, ip -s (ip -stats)
nameif ip link, ifrename
netstat ss, ip route (pro netstat-r), ip -s link (pro netstat -i), ip maddr (pro netstat-g)
route ip r (ip route)

Vzorový výstup příkazů pro síťové nástroje

Vzorový výstup obsahuje potvrzení, že příkaz proběhl úspěšně. Níže jsou uvedeny vzorové výstupy z příkazů ip n (ip neighbor), ip a (ipaddr) a ip link.

ip n (ip neighbor): 
root@SS-gateway-1:~# ip n 
192.168.0.100 dev eth2 lladdr 00:50:56:84:85:d4 REACHABLE 
192.168.0.250 dev eth2 lladdr 00:50:56:84:97:66 REACHABLE 
13.1.1.2 dev eth0 lladdr 00:50:56:84:e7:fa REACHABLE 
root@SS-gateway-1:~#
ip a (ipaddr): 
root@SS-gateway-1:~# ip a 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
    inet 127.0.0.1/8 scope host lo 
       valid_lft forever preferred_lft forever 
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 4096 
    link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 
    inet 13.1.1.1/24 brd 13.1.1.255 scope global eth0 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:a009/64 scope link 
       valid_lft forever preferred_lft forever 
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 
    link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 
    inet 101.101.101.1/24 brd 101.101.101.255 scope global eth1 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:a6ab/64 scope link 
       valid_lft forever preferred_lft forever 
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 
    link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 
    inet 192.168.0.201/24 brd 192.168.0.255 scope global eth2 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:bc75/64 scope link 
       valid_lft forever preferred_lft forever 
6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 4096 
    link/none 
    inet 169.254.129.1/32 scope global gwd1 
       valid_lft forever preferred_lft forever 
    inet6 fe80::27d5:9e46:e7f7:7198/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever 
root@SS-gateway-1:~#
ip link 
root@SS-gateway-1:~# ip link 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 4096 
    link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 
    link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 
    link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 
6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 4096 
    link/none 
root@SS-gateway-1:~#

Možnosti upgradu

Poznámka: Níže uvedené kroky vycházejí z předpokladu, že chcete ponechat stejnou IP adresu a název Brána SD-WAN Gateway pro nové zařízení Brána SD-WAN Gateway, nasazené ve vydání 4.0. Chcete-li však vytvořit nové zařízení Brána SD-WAN Gateway s jinou IP adresou, můžete postupovat podle nových procedur Brána SD-WAN Gateway.

Kvůli podstatným změnám v rozložení disku a systémových souborech není možné provést lokální upgrade ze starších vydání na vydání 4.0. Migrace bude vyžadovat nasazení nových systémů Brána SD-WAN Gateway 4.0 a vyřazení systémů, na nichž běží starší kód.

V případě Brány SD-WAN Gateway VPN nebo Brány SD-WAN Gateway NAT s dobře známými veřejnými IP adresami postupujte následujícím způsobem, jestliže je třeba veřejnou IP adresu Brána SD-WAN Gateway zachovat.

Postup (Procedure): (VNP nebo NAT Brány SD-WAN Gateway s dobře známými veřejnými IP adresami (VNP or NAT with Well-Known Public IP Addresses))
  1. Spusťte nový systém Brána SD-WAN Gateway s pomocí bitové kopie vydání 4.0. Více informací (instalační procedury pro bránu) naleznete v průvodci nasazením pro svou platformu.
  2. Vypněte starý systém Brána SD-WAN Gateway. Vypněte starý VM Brána SD-WAN Gateway (spuštěním příkazu “sudo poweroff” na konzole rozhraní příkazového řádku nebo vypnutím pomocí dostupných možností hypervizoru).
  3. Přeneste veřejnou IP adresu do nového systému: zaktualizujte záznam NAT, aby odkazoval na nový systém Brána SD-WAN Gateway, nebo nakonfigurujte veřejnou IP adresu v novém síťovém rozhraní Brána SD-WAN Gateway. Nasaďte novou bránu s výše uvedenými příklady cloud-int pomocí stejné IP adresy jako předchozí Brána SD-WAN Gateway.
  4. Získejte aktivační klíč z existujícího záznamu Brána SD-WAN GatewaySD-WAN Orchestrator (jak je popsáno v postupu).
    1. SD-WAN Orchestrator vyberte v levém navigačním panelu možnost Brány (Gateways).
    2. Na obrazovce Brány (Gateways) klikněte na Brána SD-WAN Gateway a vyberte je.
    3. Na obrazovce zvoleného Brána SD-WAN Gateway klikněte na šipku dolů vedle názvu Brána SD-WAN Gateway a otevřete informační pole.
    4. Aktivační klíč je umístěn v dolní části informačního pole, viz obrázek níže.

  5. Nastavte vlastnost systému „gateway.activation.validate.deviceId” na False, viz obrázek níže. V případě potřeby naleznete více informací v sekci Systémové vlastnosti (System Properties) v příručce operátora VMware SD-WAN.

  6. Reaktivujte nový systém Brána SD-WAN Gateway: v příkazovém řádku spusťte: “sudo /opt/vc/bin/activate.py -s <vco_address> <activation_code>”
  7. Obnovte vlastnost systému „gateway.activation.validate.deviceId“ na původní hodnotu (je-li třeba).

    Brána SD-WAN Gateway je nyní zaregistrováno a připraveno přijmout připojení ze zařízení Edge.

Poznámka: Reaktivaci Brána SD-WAN Gateway lze provést přes cloud-int, jak je popsáno v sekci Uživatelská data v tomto dokumentu.

Výstup z příkladu aktivace (Activation Example Output)

root@gateway/opt/vc# /opt/vc/bin/activate.py FLM6-CSV6-REJS-XFR5 -i -s 169.254.8.2

Activation successful, VCO overridden back to 169.254.8.2 root@SS1-gateway-2:/opt/vc#

Brány SD-WAN Gateway bez známých veřejných IP adres

Tato sekce  je určena pouze pro Brány SD-WAN Gateway bez známé veřejné IP adresy, například Brány SD-WAN Gateway VPN. Platí-li tento scénář, postupujte podle návodu níže.

Postup: ( Brány SD-WAN Gateway bez známých veřejných IP adres) (Procedure: (Without Well-known Public IPs)
  1. Spusťte nový systém Brána SD-WAN Gateway. Je-li třeba, nahlédněte do průvodce nasazením pro svou platformu (instalační procedury pro bránu).
  2. Aktivujte nový systém Brána SD-WAN Gateway.
  3. Přidejte nové Brána SD-WAN Gateway do fondu SD-WAN Orchestrator Brána SD-WAN Gateway. Více informací naleznete v části „Správa brány (Gateway Management)“ v příručce operátora VMware SD-WAN.
    1. Brána SD-WAN Gateway je nyní zaregistrováno a připraveno přijmout připojení ze zařízení Edge.
  4. Odstraňte staré Brána SD-WAN Gateway z fondu SD-WAN Orchestrator Brána SD-WAN Gateway. Více informací naleznete v sekci „Správa brány (Gateway Management)“ v příručce operátora VMware SD-WAN.
  5. Vyřazení starého VM Brána SD-WAN Gateway. (Odstraňte záznam Brána SD-WAN GatewaySD-WAN Orchestrator a vyřaďte instanci VM z provozu.)

Získání aktivačního klíče brány přes rozhraní API

Při nasazení pomocí metody rozhraní API použijte následující příkaz: „network/getNetworkGateways“.

Vzorová odpověď: 

{"jsonrpc":"2.0","result":[{"id":1, "activationKey":"69PX-YHY2-N5PZ-G3UW …

Konfigurace výchozího rozhraní v datové rovině

Konfigurace sítě brány VMware SD-WAN Gateway

V příkladu s obrázkem níže (VRF/VLAN Hand Off to PE) předpokládáme, že eth0 je rozhraní směřující do veřejné sítě (internet) a eth1 je rozhraní směřující do interní sítě (VRF zákazníka přes PE). Konfigurace peeringu BGP je spravována v systému VCO dle zákazníka/VRF v části „Konfigurovat (Configure) > Zákazník (Customer)“. Mějte na paměti, že IP adresu každého VRF lze konfigurovat podle zákazníka. IP adresa VRF pro správu zdědí IP adresu nakonfigurovanou na rozhraní brány SD-WAN (SD-WAN Gateway interface) v systému Linux.

Na bráně SD-WAN je vytvořen VRF pro správu, který se používá k odesílání pravidelného obnovení ARP na výchozí IP brány k určení MAC dalšího skoku. Doporučuje se, aby byl za tímto účelem na routeru PE nastaven vyhrazený VRF. Stejné VRF pro správu lze použít ve směrovači PE také k odeslání sondy IP SLA do brány SD-WAN (SD-WAN Gateway) za účelem kontroly stavu brány SD-WAN (SD-WAN Gateway) (brána SD-WAN má stavový odpovídač ICMP, který bude reagovat na příkaz ping pouze v případě, že je služba aktivní). Partnerské relace protokolu BGP nejsou v rámci VRF pro správu vyžadovány. Pokud není VRF pro správu nastaven, můžete jako VRF pro správu použít jeden z VRF zákazníka, ale není to doporučeno.

Krok 1: Upravte parametry /etc/config/gatewayd a zadejte správné VCMP a rozhraní WAN. Rozhraní VCMP je veřejné rozhraní, které slouží k ukončení překryvných tunelů. Rozhraní WAN je v tomto kontextu rozhraním handoff. 
      "vcmp.interfaces":[
                   "eth0"
               ], 
         (..snip..)

               "wan": [
                   "eth1"
               ],

Krok 2: Nakonfigurujte VRF pro správu. Toto VRF používá brána SD-WAN (SD-WAN Gateway) v rámci ARP pro určení MAC adresy dalšího kroku (směrovač PE). Stejnou adresu MAC dalšího kroku použijí všechna VRF vytvořená bránou SD-WAN (SD-WAN Gateway). Musíte nakonfigurovat parametr Management VRF v /etc/config/gatewayd.

VRF pro správu je to samé VRF, které používá směrovač PE k odeslání sondy IP SLA. Brána SD-WAN (Gateway SD-WAN) reaguje na sondu ICMP pouze v případě, že je služba aktivní a je připojeno zařízení Edge. V následující tabulce najdete popis jednotlivých parametrů, které je třeba definovat. Tento příklad využívá jako VRF pro správu: VLAN 802.1q s ID 1000.

mode QinQ (0x8100), QinQ (0x9100), žádné, 802.1Q, 802.1ad
c_tag Hodnota C-tag pro zapouzdření QinQ nebo ID VLAN 802.1Q pro zapouzdření 802.1Q
s_tag Hodnota S-Tag pro zapouzdření QinQ
interface Rozhraní handoff, obvykle eth1 
      "vrf_vlan": {
          "tag_info": [
             {
                 "resp_mode": 0,
                 "proxy_arp": 0,
                 "c_tag": 1000, 
                 "mode": "802.1Q",
                 "interface": "eth1",
                 "s_tag": 0
             }
          ]
      },

Krok 3: Upravte parametry /etc/config/gatewayd-tunnel tak, aby zahrnovaly obě rozhraní parametru WAN. Změny uložte.

wan="eth0 eth1"

Odebrání blokovaných podsítí (Subnets)

Ve výchozím nastavení brána SD-WAN (Gateway SD-WAN) blokuje provoz na portu 10.0.0.0/8 a 172.16.0.0/14. Před použitím této brány SD-WAN j(SD-WAN Gateway)e nutné jejich odebrání, protože očekáváme, že brána SD-WAN bude odesílat provoz také do privátních podsítí. Pokud tento soubor neupravíte a pokusíte se odeslat provoz do zablokovaných podsítí, najdete ve složce /var/log/gwd.log následující zprávy:

2015-12-18T12:49:55.639  ERR     [NET] proto_ip_recv_handler:494 Dropping packet destined for
10.10.150.254, which is a blocked subnet.
2015-12-18T12:52:27.764  ERR     [NET] proto_ip_recv_handler:494 Dropping packet destined for 
10.10.150.254, which is a blocked subnet. [message repeated 48 times]
2015-12-18T12:52:27.764  ERR     [NET] proto_ip_recv_handler:494 Dropping packet destined for 
10.10.150.10, which is a blocked subnet.
Krok 1: Na bráně SD-WAN upravte soubor /opt/vc/etc/vc_blocked_subnets.jsonfile. Zjistíte, že tento soubor má původně následující parametry: 
[
            {
                        "network_addr": "10.0.0.0",
                        "subnet_mask": "255.0.0.0"
            },
            {
            "network_addr": "172.16.0.0",
            "subnet_mask": "255.255.0.0"
            }
]
Krok 2: Odeberte obě sítě. Po dokončení úprav by měl soubor vypadat takto: Změny uložte. 
[
]

Krok 3: Restartujte proces brány SD-WAN (SD-WAN Gateway) použitím příkazu sudo /opt/vc/bin/vc_procmon restart.