Tento článek poskytuje stručný přehled a podrobný postup konfigurace NSD založeného na směrování prostřednictvím zařízení Edge do brány VMware Cloud on AWS.
Přehled NSD založeného na směrování NSD prostřednictvím zařízení Edge do brány VMware Cloud on AWS
Níže uvedený obrázek ilustruje integraci prostředí VMware SD-WAN a VMware Cloud on AWS, která využívají připojení IPsec mezi zařízením Edge VMware SD-WAN a bránou VMware Cloud.
Postup
Tento článek část obsahuje podrobný postup, jak dosáhnout připojení mezi zařízením Edge SD-WAN a bránou VMware Cloud.
- Přihlaste se do konzoly VMware Cloud na základě adresy URL své organizace SDDC (přihlašovací stránka VMware Cloud Services). Na platformě cloudových služeb zvolte VMware Cloud on AWS.
- Vyhledejte veřejnou IP adresu používanou pro připojení VPN tak, že kliknete na kartu Síť a zabezpečení (Networking and Security). Veřejná IP adresa VPN se zobrazuje pod oknem Přehled (Overview).
- Určete sítě/podsítě pro výběr šifrování provozu (zajímavý provoz) a poznamenejte si je. Ty by měly pocházet ze segmentů v části sítě/zabezpečení ve VMware Cloud. (Vyhledejte je kliknutím na možnost Segmenty (Segments) v nabídce Síť (Network).)
- Přihlaste se do systému SD-WAN Orchestrator a ověřte, zda je vedle zařízení SD-WAN Edge zelená stavová ikona.
- Přejděte na kartu Konfigurovat (Configure), klikněte na možnost Služby sítě (Network Services) a poté v části Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) klikněte na tlačítko Nový (New).
- Zadejte název cíle jiného než SD-WAN prostřednictvím Edge, vyberte typ, v tomto případě obecný směrovač IKEv2 (VPN podle směrování) (Generic IKEv2 Router (Route Based VPN)) a klikněte na možnost Další (Next).
- Klikněte na tlačítko Rozšířené (Advanced) a zadejte níže uvedené údaje.
- Zadejte veřejnou IP adresu VMC získanou z kroku 2.
- Ujistěte se, že je šifrování nastaveno na AES 128.
- Změňte skupinu DH na 2.
- Aktivujte PFS na hodnotu 2.
- Nastavte algoritmus autentizace na SHA 1.
- Podsítě budou naučeny prostřednictvím protokolu BGP (pokud není protokol BGP nakonfigurován, přidejte podsítě lokality, které byly zachyceny v kroku 3, např. statické směrování).
- Klikněte na tlačítko Uložit změny (Save Changes).
- V levém podokně klikněte na možnost Konfigurovat (Configure) > Edge (Edges).
- Přejděte na stránku nastavení zařízení pro Edge, ke kterému bude NSD přiřazena.
- V části nastavení zařízení Edge proveďte následující.
- V nabídce Cloudová VPN (Cloud VPN) a Větev do cíle jiného než SD-WAN prostřednictvím Edge (Branch to Non SD-WAN Destination via Edge) klikněte na zaškrtávací pole vedle možnosti Povolit (Enable).
- Z rozbalovací nabídky vyberte možnost NSD prostřednictvím Edge (NSD via Edge).
- Klikněte na tlačítko Přidat (Add) a aktualizujte následující pole níže (viz obrázek níže).
- Vyberte linku WAN Edge, ze které chcete vytvořit tunel NSD.
- Typ místního ID (Local ID type) – IP adresa.
- Místním ID bude veřejná IP adresa linky WAN.
- Zadejte PSK.
- Cílová primární veřejná IP adresa (Destination primary Public IP) – veřejná IP adresa brány VMC.
- Aktivujte nastavení protokolu BGP pro zařízení Edge, jak je znázorněno na obrázku dole.
- Klikněte na tlačítko Upravit (Edit) a aktualizujte parametry protokolu BGP pro souseda NSD.
- Zvolte nakonfigurovaný název NSD.
- Linka WAN Edge, ke které je přidružena NSD.
- Nakonfigurujte místní ASN (Local ASN) 65001.
- IP souseda (Neighbour IP) – 169.254.32.2.
- ASN druhé strany (Peer ASN) – 65000 (výchozí ASN VMC je 65000).
- Místní IP adresa (Local IP) – 169.254.32.1 POZNÁMKA: Doporučujeme použít /30 CIDR z podsítě 169.254.0.0/16 s výjimkou následujících rezervovaných adres VMC – 169.254.0.0–169.254.31.255, 169.254.101.0–169.254.101.3
- V systému SD-WAN Orchestrator byl mělo být připraveno tunelové propojení s BGP přes IPsec.
- Přihlaste se do konzole VMware Cloud.
- Přejděte do části Síť a zabezpečení (Networking and Security) a klikněte na kartu VPN. V oblasti VPN vyberte možnost VPN na základě směrování (Route Based VPN) a klikněte na možnost Přidat VPN (Add VPN).
- Zadejte název sítě VPN na základě směrování a nakonfigurujte následující:
- Zvolte název. (Zvolte název, který začíná na „Do_SDWAN_EDGE“, aby se síť VPN dala snadno rozpoznat při řešení potíží a budoucí podpoře).
- Vyberte veřejnou IP adresu.
- Zadejte vzdálenou veřejnou IP adresu. (Veřejná IP adresa linky WAN zařízení Edge).
- Zadejte vzdálenou privátní IP adresu – musí se shodovat s oddílem 11c.
- Zadejte místní IP adresu protokolu BGP.
- Zadejte vzdálenou IP adresu protokolu BGP.
- V nabídce Šifrování tunelu (Tunnel Encryption) vyberte možnost AES 128.
- V části Tunelový hashovací algoritmus (Tunnel Digest Algorithm) vyberte SHA1.
- Ujistěte se, že je možnost Perfect Forward Secrecy nastavena na Aktivováno (Enabled).
- Zadejte PSK, aby se shodovalo s krokem 12d.
- V části Šifrování IKE (IKE Encryption) vyberte možnost AES 128.
- V části Algoritmus hashování IKE (IKE Digest Algorithm) vyberte možnost SHA 1.
- V části Typ IKE (IKE Type) vyberte možnost IKEv2.
- V části Diffie Hellman zvolte skupinu 2.
- Klikněte na tlačítko Uložit (Save).
- Jakmile je konfigurace dokončena, tunel se automaticky aktivuje a bude pokračovat ve vyjednávání parametrů IKE fáze 1 a fáze 2 s druhou stranou, což je zařízení SD-WAN EDGE.
- Jakmile se tunelové propojení zobrazí (zelená), ověřte stav NSD prostřednictvím tunelu Edge / stavu BGP v nástroji SD-WAN Orchestrator (nabídka Monitorování (Monitor) > Síťové služby (Network Services)).
- Spusťte příkaz ping od klienta připojeného na obou koncích k protějšímu klientu a ověřte dosažitelnost příkazu ping. Konfigurace tunelového propojení byla dokončena a ověřena.