Dieser Abschnitt bietet eine kurze Übersicht und detaillierte Verfahren zur Konfiguration von routenbasiertem NSD über Gateway zum VMware Cloud AWS Gateway.
Übersicht über routenbasiertes NSD über Gateway zum VMware Cloud AWS Gateway
Die Abbildung unten veranschaulicht die Integration von VMware SD-WAN und VMware Cloud on AWS, die IPsec-Konnektivität zwischen dem VMware SD-WAN Gateway und dem VMware Cloud-Gateway nutzt.
Vorgehensweise
Dieser Abschnitt enthält schrittweise Anleitungen, wie die Konnektivität zwischen einem SD-WAN Gateway und einem VMware Cloud-Gateway erreicht werden kann.
- Melden Sie sich bei der VMware Cloud-Konsole basierend auf der URL für Ihre SDDC-Organisation an (Die Anmeldeseite für VMware Cloud Services). Wählen Sie auf der Cloud Services Platform „VMware Cloud on AWS“ aus.
- Suchen Sie die für die VPN-Konnektivität verwendete öffentliche IP, indem Sie auf die Registerkarte „Netzwerke und Sicherheit (Networking and Security)“ klicken. Die öffentliche VPN-IP wird unterhalb des Fensters „Übersicht (Overview)“ angezeigt.
- Bestimmen Sie die Netzwerke/Subnetze für die Auswahl der Datenverkehrsverschlüsselung (gewünschter Datenverkehr) und notieren Sie diese. Diese sollten aus den Segmenten Netzwerk/Sicherheit in der VMware Cloud stammen. (Suchen Sie diese, indem Sie unter Netzwerk (Network) auf Segmente (Segments) klicken.)
- Melden Sie sich beim SD-WAN Orchestrator an und stellen Sie sicher, dass SD-WAN Edges angezeigt werden (neben ihnen wird ein grünes Statussymbol angezeigt).
- Navigieren Sie zur Registerkarte Konfigurieren (Configure) und klicken Sie auf Netzwerkdienste (Network Services). Klicken Sie unter „Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway)“ auf die Schaltfläche Neu (New).
- Geben Sie einen Namen für das Nicht-SD-WAN-Ziel über Gateway an. Wählen Sie den Typ, in diesem Fall „Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN))“, geben Sie die öffentliche IP von der in Schritt 2 erhaltenen VMC ein und klicken Sie auf Weiter (Next).
- Klicken Sie auf die Schaltfläche „Erweitert (Advanced)“ und führen Sie die folgenden Schritte aus:
- Wechseln Sie zum gewünschten PSK.
- Stellen Sie sicher, dass die Verschlüsselung auf AES 128 eingestellt ist.
- Ändern Sie die DH-Gruppe auf 2.
- Aktivieren Sie PFS auf 2.
- Setzen Sie den Authentifizierungsalgorithmus auf SHA 1.
- Deaktivieren Sie das Site-Subnetz, da Subnetze über BGP erlernt werden. (Wenn BGP nicht konfiguriert ist, fügen Sie die in Schritt 3 erfassten Site-Subnetze hinzu, wie bei einer statischen Route).
- Klicken Sie auf das Kontrollkästchen neben Tunnel aktivieren (Enable Tunnels).
- Klicken Sie auf Änderungen speichern (Save Changes).
- Klicken Sie auf IKE/IPSec-Vorlage anzeigen (View IKE/IPSec Template), kopieren Sie die Informationen in eine Textdatei und schließen Sie dann das Fenster.
- Klicken Sie im linken Fensterbereich auf Konfigurieren (Configure) > Profile (Profiles).
- Navigieren Sie zum Profil für den zugehörigen SD-WAN Edge und klicken Sie auf das entsprechende Profil.
- Führen Sie unter dem richtigen Profil die folgenden Schritte aus.
- Navigieren Sie zur Registerkarte Gerät (Device) und aktivieren Sie unter „Cloud-VPN (Cloud VPN)“ und „Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway)“ das Kontrollkästchen neben Aktivieren (Activate).
- Wählen Sie im Dropdown-Menü das „NSD über Gateway (NSD via Gateway)“ aus, das erstellt wurde (ab Schritt 6).
- Klicken Sie auf die Schaltfläche Änderungen speichern (Save Changes) oben im Bildschirm.
- Wechseln Sie zur Seite Netzwerkdienst (Network Service) und klicken Sie im Dienstbereich „NSD über Gateway (NSD via Gateway)“ auf die Schaltfläche „BGP“.
- Konfigurieren Sie die BGP-Parameter:
- Lokale ASN 65001 konfigurieren
- Nachbar-IP – 169.254.32.2 c) Peer-ASN – 65000 (VMC Standard-ASN ist 65000)
- Lokale IP-Adresse – 169.254.32.1
Hinweis: Es wird empfohlen, einen /30 CIDR aus dem Subnetz 169.254.0.0/16 zu verwenden, ohne die folgenden reservierten VMC-Adressen – 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3
- Melden Sie sich bei der VMware Cloud-Konsole an.
- Navigieren Sie zu „Netzwerke und Sicherheit (Networking and Security)“ und klicken Sie auf die Registerkarte „VPN“. Wählen Sie im Bereich „VPN“ die Option „Routenbasiertes VPN (Route Based VPN)“ aus und klicken Sie auf „VPN hinzufügen (Add VPN)“.
- Geben Sie einen Namen für das routenbasierte VPN an und konfigurieren Sie Folgendes.
- Wählen Sie einen Namen. (Wählen Sie einen Namen, der mit „To_SDWAN_Gateway“ beginnt, damit das VPN bei der Fehlerbehebung und beim zukünftigen Support leicht identifiziert werden kann).
- Wählen Sie die öffentliche IP aus.
- Geben Sie die öffentliche Remote-IP ein.
- Geben Sie die private Remote-IP ein. HINWEIS: Hierfür ist ein Anruf beim GSS-Support erforderlich. Bitte lesen Sie den folgenden KB-Artikel und geben Sie die KB-ID an, wenn Sie den Support kontaktieren. https:// ikb.vmware.com/s/article/78196.
- Geben Sie die lokale BGP-IP an.
- Geben Sie die Remote-BGP-IP an.
- Wählen Sie unter „Tunnel-Verschlüsselung (Tunnel Encryption)“ die Option „AES 128“ aus.
- Wählen Sie unter „Tunnel-Digest-Algorithmus (Tunnel Digest Algorithm)“ die Option „SHA1“ aus.
- Stellen Sie sicher, dass „Perfect Forward Secrecy“ auf „Aktiviert (Enabled)“ festgelegt ist.
- Geben Sie den PSK ein, der Schritt 7A entspricht.
- Wählen Sie unter „IKE-Verschlüsselung (IKE Encryption)“ die Option „AES 128“ aus.
- Wählen Sie unter „IKE-Digest-Algorithmus (IKE Digest Algorithmus)“ die Option „SHA 1“ aus.
- Wählen Sie unter „IKE-Typ (IKE Type)“ die Option „IKEv2“ aus.
- Wählen Sie unter „Diffie Hellman“ die Option „Gruppe 2 (Group 2)“ aus.
- Klicken Sie auf Speichern (Save).
- Sobald die Konfiguration abgeschlossen ist, wird der Tunnel automatisch aktiviert und fährt fort, die Parameter der IKE-Phase 1 und Phase 2 mit dem Peer, also dem SD-WAN Gateway, auszuhandeln.
- Sobald der Tunnel angezeigt wird (grün), überprüfen Sie den NSD-über-Gateway-Tunnel/BGP-Status im SD-WAN Orchestrator (wechseln Sie zu Überwachen (Monitor) > Netzwerkdienste (Network Services)).
- Starten Sie einen Ping von einem Client, der an beiden Enden verbunden ist, zum gegenüberliegenden Client und überprüfen Sie die Erreichbarkeit des Pings. Die Tunnelkonfiguration ist vollständig und verifiziert.