Las instancias de VMware SD-WAN Edge se suelen implementar en una VPC de tránsito en Amazon Web Services (AWS). AWS introdujo la compatibilidad con el servicio AWS TGW Connect para que los dispositivos SD-WAN se conecten a la puerta de enlace de tránsito. VMware SD-WAN Edge dispone ahora de una función (compatibilidad con BGP a través de GRE en LAN) que permite utilizar el servicio AWS TGW Connect en las instancias de VMware SD-WAN Edge para la conectividad con AWS Transit Gateway.
Para el servicio AWS TGW Connect, la instancia de Edge aprovisionada en la VPC de tránsito debe utilizar la interfaz LAN (enrutada, no WAN) para configurar el túnel de GRE. Así, la dirección IP privada configurada en Edge Intelligence (EI) se utiliza de forma efectiva para configurar el túnel de GRE a la puerta de enlace de tránsito.
Procedimiento de configuración de Amazon Web Services (AWS)
- En el portal de AWS, aprovisione una instancia de AWS Transit Gateway en una región determinada. Esta misma región debe tener la VPC de tránsito, donde se aprovisiona la instancia de VMware SD-WAN Edge.
Compruebe la configuración del bloque CIDR de la puerta de enlace de tránsito como se muestra en la siguiente imagen.Nota: Se utiliza una dirección IP de este bloque para el endpoint de GRE en AWS TGW. El ASN de Amazon se utiliza posteriormente en la configuración de BGP en la instancia de VMware SD-WAN Edge.
- Cree una asociación de VPC para la VPC de tránsito especificando las subredes donde reside la interfaz de LAN de la instancia de Edge o EI.
Después de crear la asociación de VPC, se mostrará Disponible (Available) en la columna Estado (State).
- Cree una asociación de Connect mediante la asociación de VPC.
Después de crear la asociación de Connect, se mostrará Disponible (Available) en la columna Estado (State).
- Cree un elemento del mismo nivel de Connect, que se traducirá a un túnel de GRE. Especifique los siguientes parámetros: la dirección GRE de la puerta de enlace de tránsito, la dirección GRE del elemento del mismo nivel, el bloque CIDR interno de BGP y el ASN del elemento del mismo nivel.
Nota: El bloque CIDR interno de BGP y el ASN del elemento del mismo nivel deben coincidir con la configuración de la instancia de VMware SD-WAN Edge.En el ejemplo anterior:
- 172.43.0.24 es la dirección IP externa de GRE en AWS TGW. Esta IP se asigna desde el bloque CIDR de la puerta de enlace de tránsito.
- 10.1.1.30 es la dirección IP externa de GRE en la instancia de VMware SD-WAN Edge.
- 169.254.31.0/29 es el bloque CIDR interno. Las direcciones de este bloque se utilizan para el vecino de BGP.
- 169.254.31.1 es la dirección IP de la instancia de VMware SD-WAN Edge.
- 169.254.31.2 y 169.254.31.3 son direcciones que se utilizan para BGP en AWS TGW.
- 64512 es el ASN de BGP configurado en AWS TGW.
- 65000 es el ASN de BGP configurado en la instancia de Edge VMware SD-WAN.
El mapa de recursos de VPC para la VPC de tránsito muestra la subred del lado de LAN con la tabla Ruta (Route) como se muestra en la siguiente imagen. - En la tabla de rutas de la VPC de tránsito, agregue una ruta para el bloque CIDR de TGW con Destino (Target) o Próximo salto (Next Hop) como asociación de VPC.
Nota: Por ejemplo, 172.43.0.0/24 es el bloque CIDR de AWS TGW.
- En la misma tabla de rutas, compruebe que la subred de EI de LAN tenga una asociación de subred explícita.
Procedimiento de configuración de VMware SASE Orchestrator
- En VMware SASE Orchestrator, vaya a Servicios de red (Network Services) > Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge) y configure el túnel de GRE con AWS Transit Gateway Connect.
Nota: Al configurar el túnel de GRE con el servicio AWS Transit Gateway Connect, consulte las siguientes notas importantes:
- El único parámetro Modo de túnel (Tunnel Mode) que se puede configurar es Activo/Activo (Active/Active).
- No hay mecanismos de conexión persistente (Keep Alive) para el túnel de GRE con el servicio AWS Transit Gateway.
- BGP se configurará de forma predeterminada para los túneles de GRE. Las conexiones persistentes de BGP se utilizan para el estado del vecino de BGP.
- La instancia de Edge no admite ECMP en varios túneles. Por lo tanto, solo se utilizará un túnel de GRE para el tráfico de salida.
- En Perfil (Profile), habilite VPN de nube (Cloud VPN) y Destino que no es de SD-WAN a través de Edge (Non SD-WAN Destination via Edge), y luego seleccione NSD.
- En la configuración de Edge, en Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge), seleccione el NSD configurado.
- Para el NSD específico, configure los parámetros del túnel de GRE mediante el signo +. Configure lo siguiente:
- Origen de túnel (Tunnel Source) como Interfaz de LAN (LAN interface)
- IP de origen del túnel (Tunnel Source IP) como la dirección IP configurada en la interfaz de LAN. Si se especifica dinámicamente, utilice Diagnósticos remotos (Remote Diagnostics) > Estadísticas de la interfaz (Interface Stats) para obtener la dirección IP.
- ASN de TGW
- Los parámetros de túnel principal se pueden configurar al proporcionar la IP de destino, la dirección IP proporcionada en el elemento del mismo nivel de TGW Connect.
- La máscara/red interna debe ser la misma que se especifica en la configuración interna del elemento del mismo nivel de TGW Connect.
- Los parámetros del túnel secundario se pueden configurar para la IP de destino y la máscara/red interna.
Nota: BGP estará habilitado de forma predeterminada para esta función. El campo ASN local (Local ASN) se rellenará previamente.Se muestra la configuración de Destinos que no son de SD-WAN a través de Edge (Non SD-WAN via Edge), como se ve en la imagen.
- La configuración anterior creará automáticamente la configuración de BGP para los vecinos. Cada configuración de túnel de GRE hacia AWS Transit Gateway se creará automáticamente para dos vecinos BGP con información sobre el nombre del vínculo, la IP de vecino, el tipo de túnel y el ASN.
En Opciones adicionales (Additional Options), el límite máximo de saltos (Max-hop) de eBGP se configura como 2, ya que este es un requisito para el servicio TGW Connect. Los parámetros adicionales que se rellenan son Conexión persistente (Keep Alive) y Hold Timer (Temporizador de retención) en función de la recomendación que proporciona AWS. La IP local (Local IP) de BGP también se rellena previamente. Estos parámetros no se pueden modificar.Nota:
- Se agregarán automáticamente dos vecinos BGP de NSD.
- El campo Opciones adicionales (Additional Options) se modificará para los valores Límite máximo de saltos (Max-hop), IP local (Local IP), Conexión persistente (Keep Alive) y Temporizador de retención (Hold Timer).
- Para el endpoint de túnel de GRE, configure una ruta estática en la instancia de VMware SD-WAN Edge que especifique el próximo salto para especificar la puerta de enlace predeterminada de subred y la interfaz como la interfaz de LAN.