Zařízení VMware SD-WAN Edge se obvykle nasazují v tranzitním VPC ve službách Amazon Web Services (AWS). Služba AWS zavedla podporu služby připojení AWS TGW (tranzitní brána) pro zařízení SD-WAN pro připojení k tranzitní bráně. Zařízení VMware SD-WAN Edge nyní disponuje funkcí (podpora BGP přes GRE v síti LAN), která umožňuje zařízením VMware SD-WAN Edge používat službu AWS TGW Connect Service k připojení k AWS Transit Gateway.

Pro AWS TGW Connect Service musí zařízení Edge zajištěné v tranzitním VPC použít k nastavení tunelu GRE rozhraní LAN (směrované, jiné než WAN). Při tom je fakticky využívána privátní IP adresa nakonfigurovaná v ENI k nastavení tunelu GRE k tranzitní bráně.

Postup konfigurace Amazon Web Services (AWS)

  1. Na portálu AWS zřiďte tranzitní bránu AWS v konkrétní oblasti. Tato stejná oblast musí mít tranzitní VPC, kde je zřízeno zařízení VMware SD-WAN Edge.
    Zkontrolujte, zda chcete nakonfigurovat blok CIDR tranzitní brány, jak je znázorněno na následujícím obrázku.
    Poznámka: IP adresa z tohoto bloku se používá pro koncový bod GRE na AWS TGW. Amazon ASN se použije později v konfiguraci protokolu BGP na zařízení VMware SD-WAN Edge.
  2. Vytvořte připojení VPC pro tranzitní VPC, a to určením podsítí, ve kterých se nachází rozhraní LAN zařízení Edge nebo ENI.

    Po vytvoření připojení VPC se ve sloupci Stav (Status) zobrazí možnost Available (K dispozici).

  3. Vytvořte připojení Connect pomocí připojení VPC.

    Po vytvoření připojení Connect se ve sloupci Stav (Status) zobrazí možnost Available (K dispozici).

  4. Vytvořte druhou stranu Connect, která bude přeložena na tunel GRE. Zadejte následující parametry: adresu GRE tranzitní brány, adresu GRE druhé strany, vnitřní blok CIDR BGP a ASN druhé strany.
    Poznámka: Vnitřní blok CIDR BGP a ASN druhé strany musí odpovídat tomu, co je nakonfigurováno na zařízení VMware SD-WAN Edge.
    Ve výše uvedeném příkladu:
    • 172.43.0.24 je vnější IP adresa GRE na AWS TGW. Tato IP adresa je přidělena z bloku CIDR tranzitní brány.
    • 10.1.1.30 je vnější IP adresa GRE na VMware SD-WAN Edge.
    • 169.254.31.0/29 je vnitřní blok CIDR. Adresy z tohoto bloku se používají pro sousední zařízení BGP.
    • 169.254.31.1 je IP adresa na VMware SD-WAN Edge.
    • 169.254.31.2 a 169.254.31.3 jsou adresy používané pro BGP na AWS TGW.
    • 64512 je ASN BGP nakonfigurované na AWS TGW.
    • 65000 je ASN BGP nakonfigurované na VMware SD-WAN Edge.
    Mapa zdrojů VPC (VPC Resource Map) pro tranzitní VPC zobrazuje podsíť na straně sítě LAN s tabulkou Směr (Route), jak je znázorněno na obrázku níže.
  5. V tabulce směrů tranzitního VPC přidejte směr pro blok TGW CIDR s cílem nebo dalším skokem nastaveným jako připojení VPC.
    Poznámka: Například 172.43.0.0/24 je blok CIDR AWS TGW.
  6. Ve stejné tabulce směrů ověřte, zda má podsíť LAN ENI explicitní přidružení podsítě.

Postup konfigurace nástroje VMware SASE Orchestrator

  1. V nástroji VMware SASE Orchestrator přejděte do nabídky Síťové služby (Network Services) > Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) a nakonfigurujte tunel GRE pomocí AWS Transit Gateway Connect.
    Poznámka: Před konfigurací tunelu GRE pomocí AWS Transit Gateway Connect si přečtěte následující důležité poznámky:
    • Jediný parametr režimu tunelu, který lze nakonfigurovat, je Aktivní/aktivní.
    • Pro tunel GRE s AWS Transit Gateway Service neexistují žádné mechanismy intervalu zkoušky spojení.
    • Pro tunely GRE bude ve výchozím nastavení nakonfigurován protokol BGP. Pro stav sousedního zařízení BGP se používají intervaly zkoušky spojení BGP.
    • Zařízení Edge nepodporuje ECMP ve více tunelech. Proto bude pro výstupní provoz (egress traffic) použit pouze jeden tunel GRE.
  2. V části Profil (Profile) povolte CloudVPN, povolte Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) a vyberte NSD.
  3. V konfiguraci zařízení Edge v možnosti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) vyberte nakonfigurovaný NSD.
  4. Pro konkrétní NSD výběrem znaménka + nakonfigurujte parametry tunelu GRE. Nakonfigurujte následující nastavení:
    • Tunelový zdroj jako rozhraní LAN
    • Zdrojová IP adresa tunelu jako IP adresa nakonfigurovaná na rozhraní LAN. Pokud je zadána dynamicky, použijte k získání IP adresy možnosti Vzdálená diagnostika (Remote Diagnostics) > Statistiky rozhraní (Interface Stats).
    • ASN TGW
    • Parametry primárního tunelu mohou být nakonfigurovány zadáním cílové IP adresy, tedy IP adresy poskytnuté na TGW Connect Peer.
    • Interní síť/maska musí být shodná s nastavením v konfiguraci Interního připojení TGW ke druhé straně (TGW Connect Peer Inside).
    • Parametry sekundárního tunelu mohou být nakonfigurovány pro cílovou IP adresu a interní síť/masku.
    Poznámka: Pro tuto funkci bude protokol BGP ve výchozím nastavení povolen. Pole Místní ASN (Local ASN) bude předem vyplněno.

    Konfigurace cíle jiného než SD-WAN prostřednictvím Edge se zobrazí, jak je znázorněno na obrázku.

  5. Výše uvedená konfigurace automaticky vytvoří konfiguraci BGP pro sousední zařízení. Každá konfigurace tunelu GRE směrem k AWS Transit Gateway bude automaticky vytvořena pro dvě sousední zařízení BGP pomocí informací týkajících se názvu linky, IP adresy sousedního zařízení, typu tunelu a ASN.
    V části Další možnosti (Additional Options) je maximální skok eBGP nakonfigurován jako 2, protože to je požadavek pro službu TGW Connect Service. Na základě doporučení poskytnutých AWS jsou další vyplněné parametry Interval zkoušky spojení (Keepalive) a Časovač čekací doby (Hold Timer). Místní IP adresa protokolu BGP (BGP Local IP) je také předem vyplněna. Tyto parametry nelze změnit.
    Poznámka:
    • Automaticky budou přidána dvě sousední zařízení BGP NSD.
    • Pole Další možnosti (Additional Options) bude upraveno pro hodnoty Maximální skok (Max-Hop), Místní IP adresa (Local IP), Interval zkoušky spojení (Keep Alive) a Časovač čekací doby (Hold Timer).
  6. Pro koncový bod tunelu GRE nakonfigurujte statický směr na zařízení VMware SD-WAN Edge, který definuje další skok k určení výchozí brány podsítě a rozhraní jako rozhraní LAN.