AWS a annoncé une connexion sans tunnel sur Cloud WAN. Ce document décrit les composants AWS et comment configurer pour AWS et VMware SD-WAN.

La nouvelle connexion CNE Connect d'AWS CloudWAN utilisant la capacité BGP sans tunnel fournit un moyen plus simple de créer un réseau SD-WAN global à l'aide du réseau principal AWS comme réseau de transport de kilomètre intermédiaire. Avec cette capacité, les dispositifs VMware SD-WAN peuvent être liés en mode natif avec AWS Cloud WAN à l'aide de BGP (Border Gateway Protocol) sans nécessiter de protocoles de tunneling tels qu'IPSec ou GRE. Cela simplifie l'intégration du SD-WAN du client dans le cloud AWS et leur permet d'exploiter le réseau principal AWS à bande passante élevée pour la connectivité site distant à site distant dans différentes régions géographiques. Cette fonctionnalité prend également en charge la segmentation de réseau intégrée, ce qui permet aux clients de créer un SD-WAN sécurisé à l'échelle mondiale.

Les dispositifs Edge virtuels (vEdges) VMware SD-WAN sont généralement déployés dans ce qu'AWS appelle un VPC de « transport ». Ce VPC de transport peut ensuite être lié à d'autres VPC, TGW ou, dans ce cas, à un CNE (Cloud Network Edge) dans le réseau principal du WAN cloud pour obtenir la connectivité avec les ressources que le client a regroupées dans AWS.

Pour Cloud WAN CNE Connect, les dispositifs vEdge provisionnés dans le VPC de transport utilisent l'interface orientée LAN (routée, non-WAN) pour établir un appairage BGP L3 natif (c'est-à-dire non encapsulé) avec le CNE.

Composants AWS

6 composants principaux sont nécessaires dans AWS :
  • Réseau WAN cloud principal
  • Définition de stratégie
  • Dispositif Edge réseau principal (CNE)
  • VPC de transport
  • Attachement VPC
  • Attachement Connect

Cela suppose que le client dispose déjà d'autres ressources dans d'autres VPC AWS qui utilisent l'appairage VPC vers des CNE dans le réseau principal. Si ce n'est pas le cas, le réseau principal et les CNE doivent être définis, et des attachements doivent être créés sur les VPC de charge de travail existants du client.

Configuration AWS

  1. À l'aide de la documentation en ligne de VMware suivante pour créer des dispositifs vEdge dans un VPC AWS :
    1. Guide de déploiement du dispositif Edge virtuel
    2. Modèle VMware SD-WAN AWS CloudFormation - Green Field
    3. Modèle VMware SD-WAN AWS CloudFormation - Brown Field
  2. Sur la console AWS, vous devez utiliser AWS Network Manager pour créer un réseau global si aucun réseau n'est présent dans le déploiement AWS du client.
  3. Créez une version de stratégie.
    1. Une version de stratégie permet de définir et de configurer les détails clés de la solution, comme indiqué dans l'image ci-dessous.
    2. Entrez les plages ASN BGP utilisées par les CNE.
    3. Dans les « blocs CIDR intérieurs » globaux, les CNEs obtiennent leurs blocs CIDR intérieurs respectifs définis. Entrez le CIDR dans la zone de texte appropriée, comme indiqué dans l'image ci-dessous.
    4. Recherchez Emplacements Edge (Edge locations) dans la zone de texte appropriée, comme indiqué dans l'image ci-dessous. Les emplacements CNE définissent la zone de disponibilité AWS spécifique dans laquelle un CNE sera instancié.
      Note : Les blocs ASN et CIDR intérieur pour chaque emplacement Edge sont définis dans la plage définie ci-dessus pour le réseau global.
    5. Recherchez Segments dans la zone de texte appropriée, comme indiqué dans l'image ci-dessous. Les segments logiques sont définis à l'aide de balises. Les VPC et les sous-réseaux peuvent être balisés pour définir les segments dont ils sont membres. Dans cet exemple, le format est Key = « Segment », Value = « SDWAN », bien que la valeur soit arbitraire.
      Note : La valeur utilisée doit correspondre à la valeur définie dans la stratégie.
    6. Les stratégies d'attachement spécifient les segments dont les pièces jointes VCP et Se connecter font partie et les critères utilisés. Recherchez Stratégies d'attachement (Attachment Policies) dans la zone de texte appropriée, comme indiqué dans l'image ci-dessous. Dans l'exemple ci-dessous, une condition « balise-valeur » définit l'appartenance au segment « SDWAN » défini ci-dessus. Les « Valeurs de condition » sont la paire clé-valeur également définie ci-dessus. Cette paire clé-valeur doit être présente dans les VPC et/ou les sous-réseaux pour qu'ils deviennent membres du segment.
      Note : Il s'agit sans doute de la partie la moins intuitive et la plus sujette aux erreurs de toute la configuration. Si vous ne voyez pas de routes à partir de vos VPC de charge de travail distants, cochez cette case. D'autres configurations et conditions sont possibles, mais c'est ce qui a fonctionné lors des tests en laboratoire.
  4. Pièces jointes CNE : deux types de pièces jointes sont utilisés : l'attachement VPC et l'attachement de connexion.
    1. Attachements de VPC : chaque VPC de transport SD-WAN aura une association vpc à son CNE respectif. Au moins un sous-réseau dans le VPC doit être spécifié lors de la création de l'attachement du VPC. Dans cet exemple, le CNE dans la zone de disponibilité us-west-1 est appairé au sous-réseau LAN privé du VPC de transport SD-WAN. Une paire clé-valeur définissant l'appartenance au segment est également nécessaire.

      Si la stratégie a été configurée correctement, la pièce jointe doit indiquer qu'elle fait partie du segment « SDWAN ». Le numéro de règle de stratégie d'attachement en cours d'utilisation s'affiche, comme indiqué dans l'image ci-dessous.

    2. Connecter les pièces jointes est l'endroit où « Sans tunnel (aucune encapsulation) » est configuré. La configuration Connecter l'attachement doit spécifier une pièce jointe de VPC existante comme ID d'attachement de transport, de sorte que l'attachement de VPC doit être configuré en premier. Au même titre que l'attachement VPC, des balises pour l'appartenance au segment doivent être configurées.

      Si la stratégie a été configurée correctement, la pièce jointe doit indiquer qu'elle fait partie du segment « SDWAN ». Notez que le numéro de règle de stratégie d'attachement utilisé est affiché, ainsi que « NO_ENCAP » pour le protocole Connect. Reportez-vous à l'image ci-dessous.

  5. Connecter des homologues : les connexions homologues sont créées sous Connecter la pièce jointe. C'est là que les appairages BGP de vEdge SD-WAN sont définis en termes d'ASN et d'adresse IP de l'homologue. Reportez-vous à l'image ci-dessous.

Une fois créée, la console AWS fournit deux adresses IP homologues BGP du réseau principal à utiliser côté SD-WAN du BGP Neighborship. Ces adresses IP seront sélectionnées de manière aléatoire dans la « plage CIDR interne » définie dans la partie « Emplacements Edge » de la stratégie ci-dessus. Reportez-vous à l'image ci-dessous.

VMware SD-WAN Configuration

Les BGP Neighbors doivent désormais être configurés pour pointer vers les deux adresses IP fournies par la console AWS sous Connecter les peers (Connect Peers). Étant donné que ces adresses IP de voisin BGP proviennent de la plage CIDR interne définie dans la stratégie, des routes statiques doivent être créées sur le dispositif Edge pour pointer vers les adresses IP du voisin CNE à l'aide de l'interface routée côté LAN (GE3).
Note : Chaque homologue Connect obtient différentes adresses IP de l'homologue de réseau principal BGP, de sorte que les configurations Route statique et Voisin BGP seront différentes pour chaque dispositif vEdge dans un hub-cluster AWS.
  1. Configurez les paramètres de route statique (Static Route Settings), comme indiqué sur l'image ci-dessous.

  2. Lors de la création de BGP Neighbors, définissez « Hop Maximal (Max-Hop) » sur 2 ou plus sous Options supplémentaires (Additional Options). Reportez-vous à l'image ci-dessous.
  3. Utilisez Surveiller (Monitor) > Routage (Routing) > État des neighbors de dispositifs Edge BGP (BGP Edge Neighbor State) pour vérifier que la relation du peer BGP a été établie avec les adresses IP des Neighbors configurées. Pour voir à quoi ressemble l'écran Routage (Routing), reportez-vous à l'image ci-dessous.