Tento článek poskytuje stručný přehled a podrobný postup konfigurace NSD založeného na směrování prostřednictvím brány do brány VMware Cloud on AWS.

Přehled NSD založeného na směrování NSD prostřednictvím brány do brány VMware Cloud on AWS

Níže uvedený obrázek ilustruje integraci prostředí VMware SD-WAN a VMware Cloud on AWS, která využívají připojení IPsec mezi bránou VMware SD-WAN a bránou VMware Cloud.

Postup

Tento článek část obsahuje podrobný postup, jak dosáhnout připojení mezi bránou SD-WAN a bránou VMware Cloud.
  1. Přihlaste se do konzoly VMware Cloud na základě adresy URL své organizace SDDC (přihlašovací stránka VMware Cloud Services). Na platformě cloudových služeb zvolte VMware Cloud on AWS.
  2. Vyhledejte veřejnou IP adresu používanou pro připojení VPN tak, že kliknete na kartu Síť a zabezpečení (Networking and Security). Veřejná IP adresa VPN se zobrazuje pod oknem Přehled (Overview).

  3. Určete sítě/podsítě pro výběr šifrování provozu (zajímavý provoz) a poznamenejte si je. Měly by pocházet ze segmentů v části sítě/zabezpečení ve službě VMware Cloud. (Vyhledejte je kliknutím na možnost Segmenty (Segments) v nabídce Síť (Network).)
  4. Přihlaste se do systému SD-WAN Orchestrator a ověřte, zda se zobrazí zařízení SD-WAN Edge (vedle nich se zobrazí zelená ikona stavu).

  5. Přejděte na kartu Konfigurovat (Configure) a klikněte na možnost Síťové služby (Network Services). V nabídce Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) klikněte na tlačítko Nový (New).

  6. Zadejte název cíle jiného než SD-WAN prostřednictvím brány. Vyberte typ, v tomto případě Obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)), zadejte veřejnou IP adresu ze služby VMC získanou ve 2. kroku a klikněte na možnost Další (Next).

  7. Klikněte na tlačítko Rozšířené (Advanced) a proveďte tyto akce:
    1. Změňte požadované PSK.
    2. Ujistěte se, že je šifrování nastaveno na AES 128.
    3. Změňte skupinu DH na 2.
    4. Aktivujte PFS na hodnotu 2.
    5. Nastavte algoritmus autentizace na SHA 1.
    6. Deaktivujte podsíť lokality, protože podsítě jsou naučené prostřednictvím protokolu BGP. (Pokud není konfigurován protokol BGP, přidejte podsítě lokality zaznamenané ve 3. kroku jako statický směr (static route)).
    7. Kliknutím zaškrtněte pole vedle možnosti Povolit tunely (Enable Tunnels).
    8. Klikněte na tlačítko Uložit změny (Save Changes).

  8. Klikněte na možnost Zobrazit šablonu IKE/IPsec (View IKE/IPsec Template), zkopírujte údaje do textového souboru a okno zavřete.

  9. V levém podokně klikněte na možnost Konfigurovat (Configure) > Profil (Profile).

  10. Přejděte na profil pro přidružené zařízení SD-WAN Edge a klikněte na příslušný profil.
  11. Pod správným profilem proveďte následující.
    1. Přejděte na kartu Zařízení (Device) a v nabídce Cloud VPN a Větev do cíle jiného než SD-WAN prostřednictvím brány (Cloud VPN a Branch to Non SD-WAN Destination via Gateway) zaškrtněte pole vedle možnosti Povolit (Enable).
    2. Z rozbalovací nabídky vyberte možnost NSD prostřednictvím brány (NSD via Gateway), která byla vytvořena od kroku 6.
    3. Klikněte na tlačítko Uložit změny (Save Changes) v horní části obrazovky.

  12. Přejděte na stránku služby Síť (Network) a klikněte na tlačítko BGP v oblasti služby NSD prostřednictvím brány (NSD via Gateway).

  13. Konfigurace parametrů BGP:
    1. Konfigurace místní ASN 65001
    2. IP souseda (Neighbor IP) – 169.254.32.2 c) ASN druhé strany (Peer ASN) – 65000 (výchozí ASN VMC je 65000)
    3. Místní IP adresa (Local IP) – 169.254.32.1
      Poznámka: Doporučujeme použít /30 CIDR z podsítě 169.254.0.0/16 s výjimkou následujících rezervovaných adres VMC – 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

    V systému SD-WAN Orchestrator byl mělo být připraveno tunelové propojení s BGP přes IPsec.
  14. Přihlaste se do konzole VMware Cloud.
  15. Přejděte do části Síť a zabezpečení (Networking and Security) a klikněte na kartu VPN. V oblasti VPN vyberte možnost VPN na základě směrování (Route Based VPN) a klikněte na možnost Přidat VPN (Add VPN).

  16. Zadejte název sítě VPN na základě směrování a nakonfigurujte následující:
    1. Zvolte název. (Zvolte název, který začíná na „To_SDWAN_Gateway“, aby se síť VPN dala snadno rozpoznat při řešení potíží a budoucí podpoře).
    2. Vyberte veřejnou IP adresu.
    3. Zadejte vzdálenou veřejnou IP adresu.
    4. Zadejte vzdálenou privátní IP adresu. POZNÁMKA: To bude vyžadovat hovor na podporu GSS. Přečtěte si následující článek znalostní databáze a při kontaktování podpory uveďte ID znalostní databáze. https:// ikb.vmware.com/s/article/78196.
    5. Zadejte místní IP adresu protokolu BGP.
    6. Zadejte vzdálenou IP adresu protokolu BGP.
    7. V nabídce Šifrování tunelu (Tunnel Encryption) vyberte možnost AES 128.
    8. V části Tunelový hashovací algoritmus (Tunnel Digest Algorithm) vyberte SHA1.
    9. Ujistěte se, že je možnost Perfect Forward Secrecy nastavena na Aktivováno (Enabled).
    10. Zadejte PSK, aby se shodovalo s krokem 7A.
    11. V části Šifrování IKE (IKE Encryption) vyberte možnost AES 128.
    12. V části Algoritmus hashování IKE (IKE Digest Algorithm) vyberte možnost SHA 1.
    13. V části Typ IKE (IKE Type) vyberte možnost IKEv2.
    14. V části Diffie Hellman zvolte skupinu 2.
    15. Klikněte na tlačítko Uložit (Save).

  17. Jakmile je konfigurace dokončena, tunel se automaticky aktivuje a bude pokračovat ve vyjednávání parametrů IKE fáze 1 a fáze 2 s druhou stranou, což je brána SD-WAN Gateway.

  18. Jakmile se tunelové propojení zobrazí (zelená), ověřte stav NSD prostřednictvím tunelu brány / stavu BGP v nástroji SD-WAN Orchestrator (nabídka Monitorování (Monitor) > Síťové služby (Network Services)).

  19. Spusťte příkaz ping od klienta připojeného na obou koncích k protějšímu klientu a ověřte dosažitelnost příkazu ping. Konfigurace tunelového propojení byla dokončena a ověřena.