Dieser Abschnitt bietet eine kurze Übersicht und detaillierte Verfahren zur Konfiguration von routenbasiertem NSD über Edge zum VMware Cloud AWS-Gateway.

Routenbasiertes NSD über Edge zum VMware Cloud AWS-Gateway – Übersicht

Die Abbildung unten veranschaulicht die Integration von VMware SD-WAN und VMware Cloud on AWS, die IPsec-Konnektivität zwischen dem VMware SD-WAN Edge und dem VMware Cloud Gateway nutzt.

Vorgehensweise

Dieser Abschnitt enthält eine Schritt-für-Schritt-Anleitung dafür, wie die Konnektivität zwischen einem SD-WAN Edge und einem VMware Cloud-Gateway erreicht werden kann.
  1. Melden Sie sich bei der VMware Cloud-Konsole basierend auf der URL für Ihre SDDC-Organisation an (Die Anmeldeseite für VMware Cloud Services). Wählen Sie auf der Cloud Services Platform „VMware Cloud on AWS“ aus.
  2. Suchen Sie die für die VPN-Konnektivität verwendete öffentliche IP, indem Sie auf die Registerkarte „Netzwerke und Sicherheit (Networking and Security)“ klicken. Die öffentliche VPN-IP wird unterhalb des Fensters „Übersicht (Overview)“ angezeigt.

  3. Bestimmen Sie die Netzwerke/Subnetze für die Auswahl der Datenverkehrsverschlüsselung (gewünschter Datenverkehr) und notieren Sie diese. Diese sollten aus den Segmenten Netzwerk/Sicherheit in der VMware Cloud stammen. Suchen Sie diese, indem Sie unter „Netzwerk (Network)“ auf „Segmente (Segments)“ klicken.
  4. Melden Sie sich beim SD-WAN Orchestrator an und überprüfen Sie, ob SD-WAN Edges vorhanden sind und ein grünes Statussymbol neben ihnen angezeigt wird.

  5. Gehen Sie zur Registerkarte „Konfigurieren (Configure)“ und klicken Sie auf Netzwerkdienste (Network Services) und dann unter „Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge)“ auf die Schaltfläche Neu (New).

  6. Geben Sie einen Namen für das Nicht-SD-WAN-Ziel über Edge an, wählen Sie den Typ aus, in diesem Fall „Generischer IKEv2-Router (routenbasiertes VPN) (Generic IKEv2 Router (Route Based VPN))“ und klicken Sie auf Weiter (Next).

  7. Klicken Sie auf die Schaltfläche „Erweitert (Advanced)“ und geben Sie unten Details an.
    1. Geben Sie die öffentliche IP der VMC ein, die Sie in Schritt 2 erhalten haben.
    2. Stellen Sie sicher, dass die Verschlüsselung auf AES 128 eingestellt ist.
    3. Ändern Sie die DH-Gruppe auf 2.
    4. Aktivieren Sie PFS auf 2.
    5. Setzen Sie den Authentifizierungsalgorithmus auf SHA 1.
    6. Die Subnetze werden über BGP erlernt (wenn BGP nicht konfiguriert ist, fügen Sie die in Schritt 3 erfassten Site-Subnetze hinzu, z. B. statische Route).
    7. Klicken Sie auf Änderungen speichern (Save Changes).

  8. Klicken Sie im linken Fensterbereich auf Konfigurieren (Configure) > Edges.

  9. Rufen Sie die Seite mit den Geräteeinstellungen des Edge auf, mit dem NSD verknüpft werden soll.
  10. Führen Sie unter den Geräteeinstellungen des Edge die folgenden Schritte aus.
    1. Klicken Sie unter „Cloud-VPN (Cloud VPN)“ und „Zweigstelle-zu-Nicht-SD-WAN-Ziel über Edge (Branch to Non SD-WAN Destination via Edge)“ auf das Kontrollkästchen neben Aktivieren (Enable).
    2. Wählen Sie im Dropdown-Menü die Option „NSD über Edge ( NSD via Edge)“ aus.

  11. Klicken Sie auf die Schaltfläche Hinzufügen (Add) und aktualisieren Sie die folgenden Felder (siehe Abbildung unten).
    1. Wählen Sie den Edge-WAN-Link aus, über den der NSD-Tunnel aufgebaut werden soll.
    2. Typ der lokalen ID – IP-Adresse.
    3. Als lokale ID wird die öffentliche IP des WAN-Links verwendet.
    4. Geben Sie den PSK ein.
    5. Primäre öffentliche IP des Ziels – Öffentliche IP des VMC-Gateways.

  12. Aktivieren Sie die BGP-Einstellungen für einen Edge, wie in der Abbildung unten dargestellt.

  13. Klicken Sie auf die Schaltfläche Bearbeiten (Edit) und aktualisieren Sie die BGP-Parameter für den NSD-Nachbarn.
    1. Wählen Sie den konfigurierten NSD-Namen aus.
    2. Edge-WAN-Link, dem NSD zugeordnet ist.
    3. Konfigurieren Sie die lokale ASN 65001.
    4. Nachbar-IP – 169.254.32.2.
    5. Peer-ASN – 65000 (VMC-Standard-ASN ist 65000).
    6. Lokale IP – 169.254.32.1 HINWEIS: Es wird empfohlen, einen /30 CIDR aus dem Subnetz 169.254.0.0/16 zu verwenden, ohne die folgenden reservierten VMC-Adressen – 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

  14. Der Tunnel sollte auf dem SD-WAN Orchestrator mit BGP über IPsec bereit sein.
  15. Melden Sie sich bei der VMware Cloud-Konsole an.
  16. Navigieren Sie zu „Netzwerke und Sicherheit (Networking and Security)“ und klicken Sie auf die Registerkarte „VPN“. Wählen Sie im Bereich „VPN“ die Option Routenbasiertes VPN (Route Based VPN) aus und klicken Sie auf VPN hinzufügen (Add VPN).

  17. Geben Sie einen Namen für das routenbasierte VPN an und konfigurieren Sie Folgendes.
    1. Wählen Sie einen Namen. (Wählen Sie einen Namen, der mit „To_SDWAN_EDGE“ beginnt, damit das VPN bei der Fehlerbehebung und beim zukünftigen Support leicht identifiziert werden kann).
    2. Wählen Sie die öffentliche IP aus.
    3. Geben Sie die öffentliche Remote-IP ein. (Öffentliche IP des Edge-WAN Links).
    4. Geben Sie die private Remote-IP ein – sie sollte mit der in Abschnitt 11c angegebenen übereinstimmen.
    5. Geben Sie die lokale BGP-IP an.
    6. Geben Sie die Remote-BGP-IP an.
    7. Wählen Sie unter „Tunnel-Verschlüsselung (Tunnel Encryption)“ die Option „AES 128“ aus.
    8. Wählen Sie unter „Tunnel-Digest-Algorithmus (Tunnel Digest Algorithm)“ die Option „SHA1“ aus.
    9. Stellen Sie sicher, dass „Perfect Forward Secrecy“ auf „Aktiviert (Enabled)“ festgelegt ist.
    10. Geben Sie den PSK ein, der Schritt 12d entspricht.
    11. Wählen Sie unter „IKE-Verschlüsselung (IKE Encryption)“ die Option „AES 128“ aus.
    12. Wählen Sie unter „IKE-Digest-Algorithmus (IKE Digest Algorithmus)“ die Option „SHA 1“ aus.
    13. Wählen Sie unter „IKE-Typ (IKE Type)“ die Option „IKEv2“ aus.
    14. Wählen Sie unter „Diffie Hellman“ die Option „Gruppe 2 (Group 2)“ aus.
    15. Klicken Sie auf Speichern (Save).

  18. Sobald die Konfiguration abgeschlossen ist, wird der Tunnel automatisch aktiviert und beginnt, die Parameter der IKE-Phase 1 und Phase 2 mit dem Peer, also dem SD-WAN EDGE, auszuhandeln.

  19. Sobald der Tunnel angezeigt wird (grün), überprüfen Sie den NSD-über-Edge-Tunnel/BGP-Status im SD-WAN Orchestrator (wechseln Sie zu Überwachen (Monitor) > Netzwerkdienste (Network Services)).

  20. Starten Sie einen Ping von einem Client, der an beiden Enden verbunden ist, zum gegenüberliegenden Client und überprüfen Sie die Erreichbarkeit des Pings. Die Tunnelkonfiguration ist vollständig und verifiziert.