AWS ha anunciado una conexión sin túnel en Cloud WAN. En este documento se describen los componentes de AWS y cómo configurar para AWS y VMware SD-WAN.

La nueva instancia de CloudWAN CNE Connect de AWS con la capacidad de BGP sin túnel proporciona una forma más sencilla de crear una red de SD-WAN global mediante la red troncal de AWS como una red de transporte de media milla. Con esta capacidad, los dispositivos VMware SD-WAN pueden emparejarse de forma nativa con AWS Cloud WAN mediante BGP (Border Gateway Protocol) sin necesidad de protocolos de túnel como IPSec o GRE. Esto simplifica la integración de SD-WAN del cliente en la nube de AWS y le permite aprovechar la red troncal de AWS de alto ancho de banda para la conectividad de sucursal a sucursal en diferentes regiones geográficas. Esta función también admite la segmentación de red integrada, lo que permite a los clientes crear una instancia segura de SD-WAN a escala global.

VMware SD-WAN instancias de Edge virtuales (vEdges) se suelen implementar en lo que AWS llama una VPC de "transporte". A continuación, esta VPC de transporte puede emparejarse con otras VPC, TGW o, en este caso, una CNE (Cloud Network Edge) en la red troncal de WAN de nube para lograr la conectividad con los recursos que el cliente tiene en AWS.

Para Cloud WAN CNE Connect, las instancias de vEdge aprovisionadas en la VPC de transporte utilizarán la interfaz orientada a la LAN (enrutada, no WAN) para establecer un emparejamiento de BGP nativo de capa 3 (es decir, sin encapsular) con el CNE.

Componentes de AWS

Se necesitan 6 componentes principales en AWS:
  • Red principal de Cloud WAN
  • Definición de directiva
  • Edge de red principal (Core Network Edge, CNE)
  • VPC de transporte
  • Asociación de VPC
  • Asociación de Connect

Se da por hecho que el cliente ya tiene otros recursos en otras VPC de AWS que utilizan el emparejamiento de VPC con CNE en la red principal. Si no es así, deben definirse la red principal y los CNE, y se deben crear asociaciones a las VPC de carga de trabajo existentes del cliente.

Configuración de AWS

  1. Con la siguiente VMware documentación en línea para crear vEdges en una VPC de AWS:
    1. Guía de implementación de Edge virtual
    2. Plantilla de VMware SD-WAN AWS CloudFormation nueva
    3. Plantilla de VMware SD-WAN AWS CloudFormation : estructura existente
  2. En la consola de AWS, se debe utilizar AWS Network Manager para crear una red global, si aún no existe una en la implementación de AWS del cliente.
  3. Cree una versión de política.
    1. Una versión de directiva es donde se definen y configuran los detalles clave de la solución, como se muestra en la siguiente imagen.
    2. Introduzca los rangos de ASN de BGP utilizados por los CNE.
    3. En la opción global "Bloques de CIDR internos (Inside CIDR blocks)", los CNE obtendrán sus respectivos bloques de CIDR internos definidos. Introduzca el CIDR en el cuadro de texto correspondiente, como se muestra en la siguiente imagen.
    4. Busque Ubicaciones de Edge (Edge locations) en el cuadro de texto correspondiente, como se muestra en la siguiente imagen. Las ubicaciones de CNE definen la zona de disponibilidad de AWS específica en la que se creará una instancia de CNE.
      Nota: Los bloques CIDR internos y ASN de cada ubicación de Edge se definen dentro del rango definido anteriormente para la red global.
    5. Busque Segmentos (Segments) en el cuadro de texto correspondiente, como se muestra en la siguiente imagen. Los segmentos lógicos se definen mediante etiquetas. Las VPC y las subredes se pueden etiquetar para definir los segmentos de los que son miembros. En este ejemplo, el formato es Clave = "Segmento", Valor = "SDWAN", aunque el valor es arbitrario.
      Nota: Cualquier valor que se utilice debe coincidir con el valor definido en la directiva.
    6. Las directivas de archivos adjuntos especifican los segmentos de los que forman parte los archivos adjuntos de VCP y Conectar y qué criterios se utilizan. Busque Directivas de asociación (Attachment Policies) en el cuadro de texto correspondiente, como se muestra en la siguiente imagen. En el siguiente ejemplo, una condición "etiqueta-valor" define la pertenencia al segmento "SD-WAN" definido anteriormente. Los "Valores de condición" son el par clave-valor también definido anteriormente. Este par clave-valor debe estar presente en las VPC y/o en las subredes para que estas puedan convertirse en miembros de segmento.
      Nota: Esta es posiblemente la parte menos intuitiva y más propensa a errores de toda la configuración. Si no ve rutas de las VPC de carga de trabajo remotas, compruebe esto. Otras configuraciones y condiciones son posibles, pero esto es lo que funcionó en las pruebas de laboratorio.
  4. Archivos adjuntos de CNE: se utilizan dos tipos de archivos adjuntos: asociación de VPC y conexión de conexión.
    1. Asociaciones de VPC: cada VPC de transporte de SD-WAN tendrá una asociación de VPC a su CNE correspondiente. Se debe especificar al menos una subred dentro de la VPC cuando se crea la asociación de VPC. En este ejemplo, el CNE en la zona de disponibilidad us-west-1 se empareja con la subred de LAN privada de la VPC de transporte de SD-WAN. También es necesario un par clave-valor que defina la pertenencia a segmentos.

      Si la directiva se configuró correctamente, la asociación debe mostrar que se ha convertido en parte del segmento "SD-WAN". Aparecerá el número de regla de directiva de asociación que se esté utilizando, como se muestra en la siguiente imagen.

    2. Conectar los archivos adjuntos son donde está configurado "Sin túnel (sin encapsulación)". En la configuración de la asociación de Connect se debe especificar una asociación de VPC existente como identificador de asociación de transporte, por lo que primero hay que configurar la asociación de VPC. Al igual que con la asociación de VPC, se deben configurar las etiquetas de pertenencia a segmentos.

      Si la directiva se configuró correctamente, la asociación debe mostrar que se ha convertido en parte del segmento "SD-WAN". Tenga en cuenta que se muestra el número de regla de directiva de asociación que se está utilizando, al igual que "NO_ENCAP" para el protocolo Connect. Consulte la imagen a continuación.

  5. Conectar pares: los elementos del mismo nivel de conexión se crean en Conectar asociación. Aquí es donde se definen los emparejamientos BGP de SD-WAN vEdge en términos del ASN y la dirección IP del mismo nivel. Consulte la imagen a continuación.

Una vez creada, la consola de AWS proporcionará dos direcciones IP del mismo nivel de BGP de red principal para utilizarlas en el lado de SD-WAN de la vecindad BGP. Estas direcciones IP se seleccionarán de forma aleatoria en el "Rango de CIDR interno" definido en la parte "Ubicaciones de Edge" de la directiva anterior. Consulte la imagen a continuación.

Configuración de VMware SD-WAN

Ahora, los vecinos de BGP deben configurarse para que apunten a las dos direcciones IP proporcionadas por la consola de AWS en Conectar pares (Connect Peers). Dado que estas direcciones IP de vecino BGP son del rango de CIDR interno definido en la directiva, se deben crear rutas estáticas en la instancia de Edge para apuntar a las direcciones IP del vecino de CNE mediante la interfaz enrutada del lado de LAN (GE3).
Nota: Cada elemento del mismo nivel de Connect obtendrá diferentes direcciones IP del mismo nivel de red de núcleo de BGP, por lo que las configuraciones de ruta estática y vecino de BGP serán diferentes para cada vEdge en un clúster de hubs de AWS.
  1. Configure los ajustes de ruta estática, como se muestra en la siguiente imagen.

  2. Al crear los vecinos de BGP, establezca "Límite máximo de saltos (Max Hop)" en 2 o más en Opciones adicionales (Additional Options). Consulte la imagen a continuación.
  3. Utilice Supervisar > Enrutamiento > Estado de vecino de Edge de BGP (Monitor > Routing > BGP Edge Neighbor State) para confirmar que se ha establecido la relación del mismo nivel de BGP con las direcciones IP de vecino configuradas. Consulte la imagen a continuación para obtener una visualización de la pantalla Enrutamiento (Routing).