Les dispositifs VMware SD-WAN Edge sont généralement déployés dans un VPC de transit sur Amazon Web Services (AWS). AWS a ajouté la prise en charge du service AWS TGW (Transit Gateway) Connect pour que les dispositifs SD-WAN se connectent à Transit Gateway. Le dispositif VMware SD-WAN Edge dispose désormais d'une fonctionnalité (prise en charge de BGP sur GRE sur le LAN) qui permet de prendre en charge des dispositifs VMware SD-WAN Edge afin d'utiliser le service AWS TGW Connect pour la connectivité à AWS Transit Gateway.
Pour le service AWS TGW Connect, le dispositif Edge provisionné dans le VPC de transit doit utiliser l'interface LAN (routée, non-WAN) pour configurer le tunnel GRE. Cela permet d'utiliser effectivement l'adresse IP privée configurée sur l'instance d'Edge Intelligence (EI) pour configurer le tunnel GRE vers la passerelle de transit.
Procédure de configuration d'Amazon Web Services (AWS)
- Dans le portail AWS, provisionnez AWS Transit Gateway dans une région particulière. Cette même région doit disposer du VPC de transit, dans lequel le dispositif VMware SD-WAN Edge est provisionné.
Veillez à configurer le bloc CIDR de Transit Gateway, comme indiqué sur l'image ci-dessous.Note : Une adresse IP de ce bloc est utilisée pour le point de terminaison GRE sur AWS TGW. L'ASN Amazon est utilisé ultérieurement dans la configuration de BGP sur le dispositif VMware SD-WAN Edge.
- Créez un attachement VPC pour le VPC de transit en spécifiant les sous-réseaux sur lesquels réside l'interface LAN du dispositif Edge ou l'instance d'EI.
Une fois l'attachement VPC créé, l'option Disponible (Available) s'affiche dans la colonne État (State).
- Créez un attachement Connect à l'aide de l'attachement VPC.
Une fois l'attachement Connect créé, l'option Disponible (Available) s'affiche dans la colonne État (State).
- Créez un peer Connect, qui se convertira en tunnel GRE. Spécifiez les paramètres suivants : l'adresse GRE de Transit Gateway, l'adresse GRE du peer, le bloc CIDR interne BGP et l'ASN du peer.
Note : Le bloc CIDR interne BGP et l'ASN de l'homologue doivent correspondre à la configuration sur le dispositif VMware SD-WAN Edge.Dans l'exemple ci-dessus :
- 172.43.0.24 est l'adresse IP externe GRE sur AWS TGW : cette adresse IP est allouée à partir du bloc CIDR de Transit Gateway.
- 10.1.1.30 est l'adresse IP externe GRE sur le dispositif VMware SD-WAN Edge.
- 169.254.31.0/29 est le bloc CIDR interne. Les adresses de ce bloc sont utilisées pour BGP Neighbor.
- 169.254.31.1 est l'adresse IP du dispositif VMware SD-WAN Edge.
- 169.254.31.2 et 169.254.31.3 sont des adresses utilisées pour BGP sur AWS TGW.
- 64512 est l'ASN BGP configuré sur AWS TGW.
- 65000 est l'ASN BGP configuré sur le dispositif VMware SD-WAN Edge.
Le mappage de ressources VPC du VPC de transit répertorie le sous-réseau côté LAN avec la table de routage, comme indiqué sur l'image ci-dessous. - Dans la table de routage du VPC de transit, ajoutez une route pour le bloc CIDR TGW avec cible ou next-hop suivant(e) comme attachement VPC.
Note : Par exemple, 172.43.0.0/24 est le bloc CIDR AWS TGW.
- Dans la même table de routage, vérifiez que le sous-réseau EI LAN dispose d'une association de sous-réseaux explicite.
Procédure de configuration de VMware SASE Orchestrator
- Sur VMware SASE Orchestrator, accédez à Services réseau (Network Services) > Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge) et configurez le tunnel GRE avec AWS Transit Gateway Connect.
Note : Lors de la configuration du tunnel GRE avec le service AWS Transit Gateway Connect, reportez-vous aux remarques importantes suivantes :
- Le seul paramètre du mode Tunnel qui peut être configuré est Actif/Actif (Active/Active).
- Il n'existe aucun mécanisme keep-alive pour le tunnel GRE avec le service AWS Transit Gateway.
- BGP sera configuré par défaut pour les tunnels GRE. Un ou plusieurs keep-alives BGP sont utilisés pour l'état de BGP Neighbor.
- Le dispositif Edge ne prend pas en charge ECMP dans plusieurs tunnels. Par conséquent, un seul tunnel GRE sera utilisé pour le trafic de sortie.
- Sous Profil (Profile), activez VPN cloud (Cloud VPN), activez Destination non-SD-WAN via un dispositif Edge (Non SD-WAN Destination via Edge) et choisissez NSD.
- Sous Configuration du dispositif Edge (Edge Configuration) dans Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), sélectionnez la NSD configurée.
- Pour la NSD spécifique, configurez les paramètres du tunnel GRE en sélectionnant le signe +. Configurez les informations suivantes :
- Source de tunnel en tant qu'interface LAN
- Adresse IP source de tunnel comme adresse IP configurée sur l'interface LAN. Si Dynamiquement est spécifié, utilisez Diagnostics à distance (Remote Diagnostics) > Statistiques de l'interface (Interface Stats) pour obtenir l'adresse IP
- ASN de TGW (TGW ASN)
- Les paramètres du tunnel principal peuvent être configurés en fournissant l'adresse IP de destination, l'adresse IP fournie sur le peer TGW Connect
- Le réseau/masque interne doit être le même que celui spécifié dans la configuration interne du peer TGW Connect.
- Les paramètres du tunnel secondaire peuvent être configurés pour l'adresse IP de destination et le réseau/masque interne.
Note : BGP sera activé par défaut pour cette fonctionnalité. Le champ ASN local (Local ASN) sera prérempli.La configuration de la destination non-SD-WAN via un dispositif Edge s'affiche, comme indiqué sur l'image.
- La configuration ci-dessus créera automatiquement la configuration BGP pour les Neighbors. Chaque configuration de tunnel GRE vers AWS Transit Gateway est automatiquement créée pour deux BGP Neighbors avec des informations concernant le nom du lien (Link Name), l'adresse IP du neighbor (Neighbor IP), le type de tunnel (Tunnel Type) et l'ASN.
Dans Options supplémentaires (Additional Options), le max-hop eBGP est configuré sur 2, car il s'agit d'une condition requise pour le service TGW Connect. Les paramètres supplémentaires renseignés sont keep-alive et Hold Timer selon la recommandation fournie par AWS. L'adresse IP locale BGP est également préremplie. Vous ne pouvez pas modifier ces paramètres.Note :
- Deux BGP Neighbors NSD sont automatiquement ajoutés.
- Le champ Options supplémentaires (Additional Options) sera modifié pour les valeurs max-hop, Adresse IP locale (Local IP), keep-alive et Hold Timer.
- Pour le point de terminaison de tunnel GRE, configurez une route statique sur le dispositif VMware SD-WAN Edge qui spécifie next-hop pour spécifier la passerelle et l'interface par défaut du sous-réseau en tant qu'interface LAN.