Tato část obsahuje podrobný postup, jak dosáhnout připojení mezi Brána SD-WAN Gateway a bránou VMware Cloud.

Obecné

Níže uvedený obrázek ilustruje integraci prostředí VMware SD-WAN a VMware Cloud on AWS, která využívá připojení IPsec mezi VMware SD-WAN Gateway a VMware Cloud do směrovače.

Postup

  1. Přihlaste se do konzoly VMware Cloud na základě adresy URL vaší organizace SDDC (přihlašovací stránka VMware Cloud Services).

    Na platformě cloudových služeb zvolte VMware Cloud on AWS.

  2. Vyhledejte veřejnou IP adresu používanou pro připojení VPN tak, že kliknete na kartu Síť a zabezpečení (Networking and Security). Veřejná IP adresa VPN se zobrazuje pod oknem Přehled (Overview).

  3. Určete sítě/podsítě pro výběr šifrování provozu (zajímavý provoz) a poznamenejte si je. Ty by měly pocházet ze segmentů v části sítě/zabezpečení ve VMware Cloud. (Vyhledejte je kliknutím na možnost Segmenty (Segments) v nabídce Síť (Network).
  4. Přihlaste se do aplikace SD-WAN Orchestrator a ověřte, zda jsou přítomna zařízení Zařízení SD-WAN Edge se zobrazenou zelenou ikonou stavu.

  5. Přejděte na záložku Konfigurovat (Configure) a klikněte na možnost Síťové služby (Network Services) a poté v části Lokality jiné než VeloCloud (Non-VeloCloud Sites) klikněte na tlačítko Nová (New).

  6. Zadejte název lokality jiné než VeloCloud, vyberte typ, v tomto případě obecnou bránu firewall (VPN na základě zásad), zadejte veřejnou IP adresu z VMC získané v 2. kroku a klikněte na možnost Další (Next).

  7. Klikněte na tlačítko Advanced (Rozšířené) a v části Brána primární VPN (Primary VPN Gateway):
    1. Změňte požadované PSK.
    2. Ujistěte se, že je šifrování nastaveno na AES 256.
    3. Změňte skupinu DH na 5.
    4. Aktivujte PFS na hodnotu 5.
    5. Zadejte podsítě lokality zaznamenané ve 3. kroku.
    6. Kliknutím zaškrtněte pole Povolit tunely (Enable Tunnels).
    7. Klikněte na tlačítko Uložit změny (Save Changes).

  8. Klikněte na možnost Zobrazit šablonu IKE/IPsec (View IKE/IPsec Template), zkopírujte údaje do textového souboru a okno zavřete.

  9. V levém podokně klikněte na možnost Konfigurovat (Configure) > Profil (Profile).

  10. Přejděte do profilu pro příslušný Zařízení SD-WAN Edge a klikněte na příslušný profil.
  11. Pod správným profilem:
    1. Přejděte na kartu Zařízení (Device) a v nabídkách Cloud VPNVětev do lokality jiné než VeloCloud (Non-VeloCloud Site) klikněte na zaškrtávací pole vedle volby Povolit (Enable).
    2. V rozevírací nabídce vyberte možnost NVS Network Service, která byla vytvořena od kroku 5.
    3. Klikněte na tlačítko Uložit změny (Save Changes) v horní části obrazovky.

  12. V produktu SD-WAN Orchestrator by mělo být připraveno tunelové propojení.
  13. Přihlaste se do konzole VMware Cloud.
  14. Přejděte do části Síť a zabezpečení (Networking and Security) a klikněte na kartu VPN. V oblasti VPN vyberte možnost VPN na základě zásad (Policy Based VPN) a klikněte na možnost Přidat VPN (Add VPN).

  15. Zadejte název sítě VPN na základě zásad a nakonfigurujte následující:
    1. Zvolte název. (Zvolte název, který začíná na „To_SDWAN_Gateway“, aby se síť VPN dala snadno rozpoznat při řešení potíží a budoucí podpoře).
    2. Vyberte veřejnou IP adresu.
    3. Zadejte vzdálenou veřejnou IP adresu.
    4. Zadejte vzdálenou privátní IP adresu. POZNÁMKA: To bude vyžadovat hovor na podporu GSS. Přečtěte si následující článek znalostní databáze a při kontaktování podpory uveďte ID znalostní databáze. https://ikb.vmware.com/s/article/78196.
    5. Zadejte vzdálené sítě umístěné v prostředí SD-WAN Orchestrator.
    6. Vyberte místní sítě.
    7. V části Tunelové šifrování (Tunnel Encryption) zvolte možnost AES 256.
    8. V části Tunelový hashovací algoritmus (Tunnel Digest Algorithm) vyberte SHA1.
    9. Ujistěte se, že je možnost Perfect Forward Secrecy nastavena na Aktivováno (Enabled).
    10. Zadejte PSK, aby se shodovalo s krokem 7A.
    11. V části Šifrování IKE (IKE Encryption) vyberte možnost AES 256.
    12. V části Algoritmus hashování IKE (IKE Digest Algorithm) vyberte možnost SHA 1.
    13. V části Typ IKE (IKE Type) vyberte možnost IKEv2.
    14. V části Diffie Hellman zvolte skupinu 5.
    15. Klikněte na tlačítko Uložit (Save).

  16. Jakmile je konfigurace dokončena, tunel se automaticky aktivuje a bude pokračovat ve vyjednávání parametrů IKE fáze 1 a fáze 2 s druhou stranou, což je Brána SD-WAN Gateway.

  17. Jakmile se tunelové propojení zobrazí (zelená), ujistěte se, že je tunelové propojení zelené v produktu SD-WAN Orchestrator (přejděte do části Monitorování (Monitor) > Síťové služby (Network Services)).

  18. Spusťte příkaz ping od klienta připojeného na obou koncích k protějšímu klientu a ověřte dosažitelnost příkazu ping.

    Konfigurace tunelového propojení byla dokončena a ověřena.