En esta sección, se proporcionan procedimientos paso a paso sobre cómo lograr la conectividad entre una instancia de SD-WAN Gateway y una instancia de Puerta de enlace de VMware Cloud.

Descripción general

En la siguiente figura, se muestra la integración de VMware SD-WAN y VMware Cloud on AWS, que utiliza la conectividad de IPSec entre la puerta de enlace de VMware SD-WAN y el enrutador de VMware Cloud.

Procedimiento

  1. Inicie sesión en la consola de VMware Cloud según la URL de la organización de SDDC (la página de inicio de sesión de VMware Cloud Services).

    En la plataforma de servicios de nube, seleccione VMware Cloud on AWS.

  2. Busque la dirección IP pública utilizada para la conectividad de VPN. Para ello, haga clic en la pestaña Redes y seguridad (Networking and Security). La dirección IP pública de la VPN aparece debajo del panel Descripción general (Overview).

  3. Determine las redes o subredes para la selección de cifrado de tráfico (tráfico interesante) y anótelas. Deben provenir de Segmentos (Segments) en Redes y seguridad (Networking and Security) en VMware Cloud. Para buscarlo, haga clic en Segmentos (Segments), en Red (Network).
  4. Inicie sesión en SD-WAN Orchestrator y compruebe que haya instancias de Instancias de SD-WAN Edge con un icono de estado verde junto a ellas.

  5. Vaya a la pestaña Configurar (Configure), haga clic en Servicios de red (Network Services) y, a continuación, en Sitios que no son de VeloCloud (Non-VeloCloud Sites), haga clic en el botón Nuevo (New).

  6. Proporcione un nombre para el sitio que no es de VeloCloud, seleccione el tipo, en este caso, Firewall genérico (VPN basada en directivas) (Generic Firewall (Policy Based VPN)), introduzca la dirección IP pública de VMC obtenida en el paso 2 y haga clic en Siguiente (Next).

  7. Haga clic en el botón Avanzado (Advanced) y, bajo Puerta de enlace VPN principal (Primary VPN Gateway):
    1. Cambie a la PSK deseada.
    2. Asegúrese de que el cifrado esté establecido en AES 256.
    3. Cambie el grupo DH a 5.
    4. Habilite PFS a 5.
    5. Introduzca las subredes de sitio capturadas en el paso 3.
    6. Haga clic en la casilla de verificación Habilitar túneles (Enable Tunnels).
    7. Haga clic en Guardar cambios (Save Changes).

  8. Haga clic en Ver plantilla de IKE/IPSec (View IKE/IPSec Template), copie la información en un archivo de texto y, a continuación, cierre la ventana.

  9. En el panel de la izquierda, haga clic en Configurar (Configure) > Perfiles (Profiles).

  10. Vaya al perfil de la instancia de SD-WAN Edge asociada y haga clic en el perfil apropiado.
  11. Bajo el perfil correcto:
    1. Vaya a la pestaña Dispositivo (Device), en VPN de nube (Cloud VPN) y Sucursal a sitio que no es de VeloCloud (Branch to Non-VeloCloud Site), haga clic en la casilla de verificación situada junto a Habilitar (Enable).
    2. En el menú desplegable, seleccione el servicio de red de NVS que se creó (a partir del paso 5).
    3. Haga clic en el botón Guardar cambios (Save Changes) situado en la parte superior de la pantalla.

  12. El túnel debe estar listo en SD-WAN Orchestrator.
  13. Inicie sesión en la consola de VMware Cloud.
  14. Vaya a Redes y seguridad (Networking and Security) y haga clic en la pestaña VPN. En el área VPN, seleccione VPN basada en directivas (Policy Based VPN) y, a continuación, haga clic en Agregar VPN (Add VPN).

  15. Proporcione un nombre para la VPN basada en directivas y configure los siguientes elementos:
    1. Elija un nombre. (Elija un nombre que comience con algo de tipo "Para_Puerta_enlace_SDWAN", para que la VPN se pueda identificar fácilmente durante la solución de problemas y el soporte técnico futuro).
    2. Seleccione la dirección IP pública.
    3. Introduzca la dirección IP pública remota.
    4. Introduzca la dirección IP privada remota. NOTA: Esta acción requerirá una llamada al soporte técnico (GSS), consulte el siguiente artículo de la base de conocimientos y mencione el identificador de KB cuando se ponga en contacto con el soporte técnico. https://ikb.vmware.com/s/article/78196.
    5. Especifique las redes remotas que se encuentran en SD-WAN Orchestrator.
    6. Seleccione las redes locales.
    7. En Cifrado de túnel (Tunnel Encryption), seleccione AES 256.
    8. En Algoritmo de resumen de túnel (Tunnel Digest Algorithm), seleccione SHA1.
    9. Asegúrese de Confidencialidad directa total (Perfect Forward Secrecy) esté configurado como Habilitado (Enabled).
    10. Introduzca la PSK para que coincida con el paso 7A.
    11. En Cifrado de IKE (IKE Encryption), seleccione AES 256.
    12. En Algoritmo de Resumen de IKE (IKE Digest Algorithm), seleccione SHA 1.
    13. En Tipo de IKE (IKE Type), seleccione IKEv2.
    14. En Diffie-Hellman, seleccione el grupo 5.
    15. Haga clic en Guardar (Save).

  16. Una vez completada la configuración, el túnel se activa automáticamente y continuará con la negociación de los parámetros de IKE fase 1 y fase 2 con el elemento par, que es la instancia de SD-WAN Gateway.

  17. Una vez que se muestre el túnel (verde), compruebe que el túnel se muestra de color verde en SD-WAN Orchestrator (vaya a Supervisar (Monitor) > Servicios de red (Network Services)).

  18. Envíe un comando ping desde un cliente conectado en cada extremo hacia el cliente opuesto y compruebe la disponibilidad del ping.

    La configuración de túnel se ha completado y verificado.