En esta sección se proporciona una breve descripción general y procedimientos detallados para configurar un NSD basado en rutas a través de puerta de enlace en una puerta de enlace de VMware Cloud on AWS.

Descripción general de NSD basado en rutas a través de puerta de enlace en la puerta de enlace de VMware Cloud on AWS

En la siguiente figura se muestra la integración de VMware SD-WAN y VMware Cloud on AWS, que utiliza la conectividad de IPSec entre la puerta de enlace de VMware SD-WAN y la puerta de enlace de VMware Cloud.

Procedimiento

En esta sección se proporcionan procedimientos paso a paso sobre cómo lograr la conectividad entre una puerta de enlace de SDWAN y una puerta de enlace de VMware Cloud.
  1. Inicie sesión en la consola de VMware Cloud según la URL de la organización de SDDC (la página de inicio de sesión de VMware Cloud Services). En la plataforma de servicios de nube, seleccione VMware Cloud on AWS.
  2. Busque la dirección IP pública utilizada para la conectividad de VPN; para ello, haga clic en la pestaña Redes y seguridad (Networking and Security). La dirección IP pública de la VPN aparece debajo del panel Descripción general (Overview).

  3. Determine las redes o subredes para la selección de cifrado de tráfico (tráfico interesante) y anótelas. Deben provenir de Segmentos (Segments) en Redes y seguridad (Networking and Security) en VMware Cloud. Para encontrarlo, haga clic en Segmentos (Segments) en Red (Network).
  4. Inicie sesión en SD-WAN Orchestrator y confirme que aparecen instancias de SD-WAN Edge (se mostrará un icono de estado verde junto a ellas).

  5. Vaya a la pestaña Configure (Configurar) y haga clic en Network Services (Servicios de red). En Destino que no es de SD-WAN a través de puerta de enlace (Non SD-WAN Destination via Gateway), haga clic en el botón Nuevo (New).

  6. Proporcione un nombre para el destino que no es de SD-WAN a través de puerta de enlace. Seleccione el tipo —en este caso, Enrutador IKEv2 genérico (VPN basada en rutas) (Generic IKEv2 Router [Route Based VPN])—, introduzca la dirección IP pública de VMC obtenido en el paso 2 y haga clic en Siguiente (Next).

  7. Haga clic en el botón Avanzado (Advanced) y complete lo siguiente:
    1. Cambie a la PSK deseada.
    2. Asegúrese de que el cifrado esté establecido en AES 128.
    3. Cambie el grupo DH a 2.
    4. Habilite PFS a 2.
    5. Algoritmo de autenticación establecido en SHA 1.
    6. Desactive la subred del sitio, ya que las subredes se conocen a través de BGP. (si BGP no está configurado, agregue las subredes de sitio capturadas en el paso 3, como una ruta estática).
    7. Haga clic en la casilla de verificación junto a Habilitar túneles (Enable Tunnels).
    8. Haga clic en Guardar cambios (Save Changes).

  8. Haga clic en Ver plantilla de IKE/IPSec (View IKE/IPSec Template), copie la información en un archivo de texto y, a continuación, cierre la ventana.

  9. En el panel de la izquierda, haga clic en Configurar (Configure) > Perfiles (Profiles).

  10. Vaya al perfil de la instancia de SD-WAN Edge asociada y haga clic en el perfil apropiado.
  11. En el perfil en cuestión, complete lo siguiente.
    1. Vaya a la pestaña Dispositivo (Device) y, en VPN de nube (Cloud VPN), en la sección Sucursal a destinos que no son de SD-WAN a través de puerta de enlace (Branch to Non SD-WAN Destination via Gateway), haga clic en la casilla de verificación situada junto a Habilitar (Enable).
    2. En el menú desplegable, seleccione el NSD a través de puerta de enlace que se creó (a partir del paso 6).
    3. Haga clic en el botón Guardar cambios (Save Changes) situado en la parte superior de la pantalla.

  12. Vaya a la página de servicio Red (Network) y haga clic en el botón BGP en el área de servicio de NSD a través de puerta de enlace.

  13. Configure los parámetros de BGP:
    1. Establezca ASN local (Local ASN) en 65001.
    2. Establezca IP del vecino (Neighbor IP) en 169.254.32.2 y ASN en 65000 (el ASN predeterminado de VMC es 65000).
    3. Establezca IP local (Local IP) en 169.254.32.1.
      Nota: Se recomienda utilizar un CIDR /30 de la subred 169.254.0.0/16 sin incluir las siguientes direcciones reservadas de VMC: 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3.

    El túnel debe estar listo en SD-WAN Orchestrator con BGP a través de IPSec.
  14. Inicie sesión en la consola de VMware Cloud.
  15. Vaya a Redes y seguridad (Networking and Security) y haga clic en la pestaña VPN. En el área VPN, seleccione VPN basada en directivas (Policy Based VPN) y, a continuación, haga clic en Agregar VPN (Add VPN).

  16. Proporcione un nombre para la VPN basada en rutas y configure los siguientes elementos.
    1. Elija un nombre. (Elija un nombre que comience con algo de tipo "Para_Puerta_enlace_SDWAN", para que la VPN se pueda identificar fácilmente durante la solución de problemas y el soporte técnico futuro).
    2. Seleccione la dirección IP pública.
    3. Introduzca la dirección IP pública remota.
    4. Introduzca la dirección IP privada remota. NOTA: Esta acción requerirá una llamada al soporte técnico (GSS), consulte el siguiente artículo de la base de conocimientos y mencione el identificador de KB cuando se ponga en contacto con el soporte técnico. https:// ikb.vmware.com/s/article/78196.
    5. Especifique la IP local de BGP.
    6. Especifique la IP remota de BGP.
    7. En Cifrado de túnel (Tunnel Encryption), seleccione AES 128.
    8. En Algoritmo de resumen de túnel (Tunnel Digest Algorithm), seleccione SHA1.
    9. Asegúrese de Confidencialidad directa total (Perfect Forward Secrecy) esté configurado como Habilitado (Enabled).
    10. Introduzca la PSK para que coincida con el paso 7A.
    11. En Cifrado de IKE (IKE Encryption), seleccione AES 128.
    12. En Algoritmo de Resumen de IKE (IKE Digest Algorithm), seleccione SHA 1.
    13. En Tipo de IKE (IKE Type), seleccione IKEv2.
    14. En Diffie-Hellman, seleccione Grupo 2 (Group 2).
    15. Haga clic en Guardar (Save).

  17. Una vez completada la configuración, el túnel se activa automáticamente y continuará con la negociación de los parámetros de IKE fase 1 y fase 2 con el elemento par, que es la puerta de enlace de SD-WAN.

  18. Una vez que se muestre el túnel (verde), compruebe el estado del BGP/túnel de NSD a través de puerta de enlace en SD-WAN Orchestrator (vaya a Supervisar [Monitor] > Servicios de red [Network Services]).

  19. Envíe un comando ping desde un cliente conectado en cada extremo hacia el cliente opuesto y compruebe la disponibilidad del ping. La configuración de túnel se ha completado y verificado.