Dieser Abschnitt enthält schrittweise Anleitungen, wie die Konnektivität zwischen einem SD-WAN Gateway und einem VMware Cloud-Gateway erreicht werden kann.

Übersicht

Die Abbildung unten veranschaulicht die Integration von VMware SD-WAN und VMware Cloud on AWS, die die IPSec-Konnektivität zwischen dem VMware SD-WAN-Gateway und der VMware Cloud zum Router nutzt.

Vorgehensweise

  1. Melden Sie sich bei der VMware Cloud-Konsole basierend auf der URL für Ihre SDDC-Organisation an (Die Anmeldeseite für VMware Cloud Services).

    Wählen Sie auf der Cloud Services Platform VMware Cloud on AWS aus.

  2. Suchen Sie die für die VPN-Konnektivität verwendete öffentliche IP, indem Sie auf die Registerkarte Netzwerke und Sicherheit (Networking and Security) klicken. Die öffentliche VPN-IP wird unterhalb des Fensters Übersicht (Overview) angezeigt.

  3. Bestimmen Sie die Netzwerke/Subnetze für die Auswahl der Datenverkehrsverschlüsselung (gewünschter Datenverkehr) und notieren Sie diese. Diese sollten aus den Segmenten Netzwerk/Sicherheit in der VMware Cloud stammen. (Suchen Sie diese, indem Sie unter Netzwerk (Network) auf Segmente (Segments) klicken.
  4. Melden Sie sich beim SD-WAN Orchestrator an und vergewissern Sie sich, dass SD-WAN Edges vorhanden sind und ein grünes Statussymbol daneben angezeigt wird.

  5. Gehen Sie zur Registerkarte Konfigurieren (Configure) und klicken Sie auf Netzwerkdienste (Network Services) und dann unter Nicht-VeloCloud-Sites (Non-VeloCloud Sites) auf die Schaltfläche Neu (New).

  6. Geben Sie einen Namen für die Nicht-VeloCloud-Site an, wählen Sie den Typ, in diesem Fall „Generische Firewall (richtlinienbasiertes VPN)“, geben Sie die öffentliche IP von dem in Schritt 2 erhaltenen VMC ein und klicken Sie auf Weiter (Next).

  7. Klicken Sie auf die Schaltfläche Erweitert (Advanced) und führen Sie unter „Primärer VPN-Gateway“ die folgenden Schritte aus:
    1. Wechseln Sie zum gewünschten PSK.
    2. Stellen Sie sicher, dass die Verschlüsselung auf AES 256 eingestellt ist.
    3. Ändern Sie die DH-Gruppe auf 5.
    4. Aktivieren Sie PFS auf 5.
    5. Geben Sie die in Schritt 3 erfassten Site-Subnetze ein.
    6. Klicken Sie auf das Kontrollkästchen Tunnel aktivieren (Enable Tunnels), um es zu aktivieren.
    7. Klicken Sie auf Änderungen speichern (Save Changes).

  8. Klicken Sie auf IKE/IPSec-Vorlage anzeigen (View IKE/IPSec Template), kopieren Sie die Informationen in eine Textdatei und schließen Sie dann das Fenster.

  9. Klicken Sie im linken Fensterbereich auf Konfigurieren (Configure) > Profile (Profiles).

  10. Navigieren Sie zum Profil für den zugehörigen SD-WAN Edge und klicken Sie auf das entsprechende Profil.
  11. Führen Sie unter dem richtigen Profil die folgenden Schritte aus:
    1. Navigieren Sie zur Registerkarte Gerät (Device) und aktivieren Sie unter Cloud-VPN (Cloud VPN) und Zweigstelle für Nicht-VeloCloud-Site (Branch to Non-VeloCloud Site) das Kontrollkästchen neben Aktivieren (Activate).
    2. Wählen Sie im Dropdown-Menü den NVS-Netzwerkdienst aus, der erstellt wurde (beginnend mit Schritt 5).
    3. Klicken Sie auf die Schaltfläche Änderungen speichern (Save Changes) oben im Bildschirm.

  12. Der Tunnel sollte auf der Website SD-WAN Orchestrator bereitgestellt sein.
  13. Melden Sie sich bei der VMware Cloud-Konsole an.
  14. Navigieren Sie zu Netzwerke und Sicherheit (Networking and Security) und klicken Sie auf die Registerkarte VPN. Wählen Sie im Bereich VPN die Option Richtlinienbasiertes VPN (Policy Based VPN) aus und klicken Sie auf VPN hinzufügen (Add VPN).

  15. Geben Sie einen Namen für das richtlinienbasierte VPN an und konfigurieren Sie Folgendes:
    1. Wählen Sie einen Namen. (Wählen Sie einen Namen, der mit „To_SDWAN_Gateway“ beginnt, damit das VPN bei der Fehlerbehebung und beim zukünftigen Support leicht identifiziert werden kann).
    2. Wählen Sie die öffentliche IP aus.
    3. Geben Sie die öffentliche Remote-IP ein.
    4. Geben Sie die private Remote-IP ein. HINWEIS: Hierfür ist ein Anruf beim GSS-Support erforderlich. Bitte lesen Sie den folgenden KB-Artikel und geben Sie die KB-ID an, wenn Sie den Support kontaktieren. https://ikb.vmware.com/s/article/78196.
    5. Geben Sie die Remotenetzwerke an, die sich auf dem SD-WAN Orchestrator befinden.
    6. Wählen Sie die lokalen Netzwerke aus.
    7. Wählen Sie unter Tunnel-Verschlüsselung (Tunnel Encryption) die Option „AES 256“ aus.
    8. Wählen Sie unter Tunnel-Digest-Algorithmus (Tunnel Digest Algorithm) die Option „SHA1“ aus.
    9. Stellen Sie sicher, dass Perfekte Weiterleitungsgeheimhaltung (Perfect Forward Secrecy) auf Aktiviert (Enabled) festgelegt ist.
    10. Geben Sie den PSK ein, der Schritt 7A entspricht.
    11. Wählen Sie unter IKE-Verschlüsselung (IKE Encryption) die Option „AES 256“ aus.
    12. Wählen Sie unter IKE-Digest-Algorithmus (IKE Digest Algorithmus) die Option „SHA 1“ aus.
    13. Wählen Sie unter IKE-Typ (IKE Type) die Option „IKEv2“ aus.
    14. Wählen Sie unter Diffie Hellman die Option „Gruppe 5 (Group 5)“ aus.
    15. Klicken Sie auf Speichern (Save).

  16. Sobald die Konfiguration abgeschlossen ist, wird der Tunnel automatisch aktiviert und fährt fort, die Parameter der IKE-Phase 1 und Phase 2 mit dem Peer, also SD-WAN Gateway, auszuhandeln.

  17. Sobald der Tunnel (grün) angezeigt wird, vergewissern Sie sich, dass er im SD-WAN Orchestrator grün angezeigt wird (navigieren Sie zu Überwachen (Monitor) > Netzwerkdienste (Network Services)).

  18. Starten Sie einen Ping von einem Client, der an beiden Enden verbunden ist, zum gegenüberliegenden Client und überprüfen Sie die Erreichbarkeit des Pings.

    Die Tunnelkonfiguration ist vollständig und verifiziert.