AWS oznámilo připojení bez tunelu v cloudové síti WAN. Tento dokument popisuje komponenty AWS a způsob konfigurace pro AWS a VMware SD-WAN.

Nové připojení služby AWS CloudWAN CNE Connect pomocí beztunelového propojení BGP nabízí jednodušší způsob vytvoření globální sítě SD-WAN s využitím páteřní sítě AWS coby prostřední přenosové sítě. Díky této funkci mohou zařízení VMware SD-WAN nativně přistupovat ke cloudové síti WAN AWS za použití protokolu BGP (Protokol hraniční brány (Border Gateway Protocol)), aniž by bylo nutné navázání tunelových protokolů, jako je IPSec nebo GRE. To zjednodušuje integraci sítě SD-WAN zákazníka do cloudu AWS a umožňuje zákazníkům využívat páteřní síť AWS s vysokou šířkou pásma pro připojení mezi dvěma větvemi v různých geografických oblastech. Tato funkce také podporuje integrované segmentace sítě a umožňuje zákazníkům vytvořit zabezpečenou síť SD-WAN v globálním měřítku.

Virtuální zařízení Edge VMware SD-WAN (vEdges) jsou obvykle zavedena v tom, co AWS nazývá „Přenosové“ VPC (Transport VPC). Tyto přenosové VPC mohou poté být v partnerském vztahu s jinými sítěmi VPC, TGWs nebo v tomto případě CNE (Cloud Network Edge) v cloudové páteřní síti WAN, aby bylo dosaženo připojení ke zdrojům, které zákazník přemístil na AWS.

Pro službu Cloud WAN CNE Connect budou virtuální zařízení vEdges zřízená v přenosové síti VPC používat rozhraní směřující do sítě LAN (směrované, jiné než WAN) k vytvoření nativního partnerského L3 (tj. nezapouzdřeného) připojení BGP s CNE.

Komponenty AWS

V AWS je nutných 6 hlavních komponent:
  • Cloudová síť WAN Core Network (Cloud WAN Core Network)
  • Definice zásad
  • Edge hlavní sítě (Core Network Edge (CNE))
  • Přenosový VPC (Transport VPC)
  • Příloha VPC
  • Připojit přílohu

Za předpokladu, že zákazník již má jiné zdroje v jiných sítích AWS VPC, které používají partnerské připojení VPC k zařízením CNE v základní síti. Pokud ne, je nutné definovat základní síť a zařízení CNE a musí být vytvořeny přílohy k existujícím zatížením VPC zákazníka.

Konfigurace AWS

  1. Použití následující online dokumentace VMware pro vytvoření virtuálních zařízení v síti AWS VPC:
    1. Průvodce nasazením virtuálního zařízení Edge (Virtual Edge Deployment Guide)
    2. Šablona VMware SD-WAN AWS CloudFormation – Green Field
    3. Šablona VMware SD-WAN AWS CloudFormation – Brown Field
  2. V konzole AWS musí být k vytvoření globální sítě použit správce sítě AWS, pokud ještě neexistuje v nasazení AWS zákazníka.
  3. Vytvořte verzi zásad.
    1. Verze zásad je místem, kde jsou definovány a nakonfigurovány klíčové detaily řešení, jak je znázorněno na níže uvedeném obrázku.
    2. Zadejte rozsahy ASN protokolu BGP používané CNE.
    3. V globálních vnitřních blocích CIDR („Inside CIDR blocks“) získají CNE definici pro své příslušné vnitřní bloky CIDR. Do příslušného textového pole zadejte CIDR, jak je znázorněno na obrázku níže.
    4. Ve vhodném textovém poli vyhledejte Umístění zařízení Edge (Edge locations), jak je znázorněno na obrázku níže. Umístění CNE definují konkrétní AWS AZ, kde bude CNE vytvořeno.
      Poznámka: ASN a vnitřní bloky CIDR pro každou lokalitu Edge jsou definovány ve výše definovaném rozsahu pro globální síť.
    5. V příslušném textovém poli vyhledejte Segmenty (Segments), jak je znázorněno na obrázku níže. Logické segmenty jsou definovány pomocí značek. VPC a podsítě lze označit za účelem definování segmentů, kterých jsou součástí. V tomto příkladu je formát Klíč = „Segment“, Hodnota = „SDWAN“, i když hodnota je libovolná.
      Poznámka: Jakákoli hodnota se musí shodovat s hodnotou definovanou v zásadách.
    6. Zásady příloh určují, do jakých segmentů patří přílohy VCP a Connect a která kritéria se použijí. Do příslušného textového pole zadejte Zásady příloh (Attachment Policies), viz obrázek níže. V níže uvedeném příkladu podmínka „tag-value“ definuje členství v segmentu „SD-WAN“ definovaném výše. „Hodnoty podmínky“ (Condition Values) jsou dvojice klíč-hodnota, rovněž definovány výše. Tento pár klíč-hodnota musí být přítomen v sítích VPC a/nebo podsítích, aby mohly být považovány za členy segmentu.
      Poznámka: Toto je pravděpodobně nejméně intuitivní a nejvíce chybám náchylná část celé konfigurace. Pokud se vám nezobrazují směry ze vzdálených pracovních zatížení VPC, zkontrolujte toto nastavení. Možné jsou i jiné konfigurace a podmínky, ale toto při testování fungovalo.
  4. Přílohy CNE: Jsou použity dva typy příloh: Příloha VPC (VPC Attachment) a Připojit přílohu (Connect Attachment).
    1. Přílohy VPC: Každá přenosová VPC SD-WAN bude mít přílohu VPC pro příslušné zařízení CNE. Při vytvoření přílohy VPC musí být zadána alespoň jedna podsíť v rámci sítě VPC. V tomto příkladu se zařízení CNE v us-west-1 AZ spáruje s privátní přenosovou podsítí LAN VPC SD-WAN. Je rovněž nutný pár klíč-hodnota definující členství segmentu.

      Pokud byly zásady nakonfigurovány správně, příloha by měla ukázat, že byla součástí segmentu „SD-WAN“. Zobrazí se pravidlo zásad přílohy, jak je znázorněno na obrázku níže.

    2. Připojení příloh (Connect Attachments) označuje, kde je konfigurována možnost „Bez tunelového propojení (bez zapouzdření) (Tunnel-less (No Encapsulation))“. Konfigurace připojení přílohy musí specifikovat existující přílohu VPC jako ID přenosové přílohy, takže Příloha VPC musí být nejprve nakonfigurována. Stejně jako u přílohy VPC je nutné nakonfigurovat označení pro členství v segmentech.

      Pokud byly zásady nakonfigurovány správně, příloha by měla ukázat, že byla součástí segmentu „SD-WAN“. Je uvedeno číslo pravidla zásad přílohy, které je používáno, stejně jako „NO_ENCAP“ pro protokol Připojení (Connect). Viz obrázek níže.

  5. Připojení druhých stran (Connect peers): V nabídce Připojit přílohu (Connect Attachment). Zde jsou partnerské vztahy protokolu BGP SD-WAN definovány podle ASN a IP adresy druhé strany. Viz obrázek níže.

Po vytvoření bude konzola AWS poskytovat dvě IP adresy druhé strany v rámci protokolu BGP hlavní sítě k použití na straně SD-WAN sousedního zařízení BGP. Tyto IP adresy budou namátkově vybrány z možnosti „Vnitřní rozsah CIDR“ (Inside CIDR range) definované v části „Umístění Edge“ (Edge Locations) výše uvedené zásady. Viz obrázek níže.

Konfigurace VMware SD-WAN

Sousední zařízení BGP musí být nyní nakonfigurována tak, aby odkazovala na dvě IP adresy poskytnuté konzolou AWS v části Připojení druhých stran (Connect peers). Vzhledem k tomu, že tyto IP adresy sousedního zařízení BGP pochází z vnitřního rozsahu CIDR definovaného v zásadách, musí statické směry na zařízení Edge odkazovat na IP adresy sousedního zařízení CNE pomocí směrovaného rozhraní na straně LAN (GE3).
Poznámka: Každé připojené zařízení druhé strany získá různé IP adresy druhé strany základní sítě BGP, takže konfigurace statického směru a sousedních zařízení BGP se budou pro každé virtuální zařízení Edge v clusteru centra Hub AWS lišit.
  1. Nakonfigurujte nastavení statického směru podle obrázku níže.

  2. Při vytváření sousedních zařízení BGP nastavte možnost „Max. počet přeskoků“ (Max-Hop) na 2 nebo více v části Další možnosti (Additional Options). Viz obrázek níže.
  3. Pomocí možnosti Monitorování (Monitor) > Směrování (Routing) > Stav BGP Neighbor Edge (BGP Edge Neighbor State) ověřte, že byl navázán vztah druhé strany BGP s nakonfigurovanými IP adresami sousedního zařízení. Viz obrázek níže pro vizualizaci obrazovky Směrování (Routing).