Cette section fournit une brève présentation et des procédures détaillées pour configurer une NSD via la passerelle basée sur une route vers la passerelle VMware Cloud AWS.

Présentation de la NSD via la passerelle basée sur une route vers la passerelle VMware Cloud AWS

La figure ci-dessous illustre l'intégration de VMware SD-WAN et de VMware Cloud on AWS, qui utilise la connectivité IPSec entre la passerelle VMware SD-WAN Gateway et la passerelle VMware Cloud.

Procédure

Cette section fournit des procédures pas à pas sur l'établissement de la connectivité entre une passerelle SD-WAN Gateway et une passerelle VMware Cloud.
  1. Connectez-vous à la console VMware Cloud en fonction de l'URL de votre organisation SDDC (page de connexion à VMware Cloud Services). Sur la plate-forme Cloud Services, sélectionnez VMware Cloud on AWS.
  2. Recherchez l'adresse IP publique utilisée pour la connectivité VPN en cliquant sur l'onglet Mise en réseau et sécurité (Networking and Security). L'adresse IP publique du VPN s'affiche sous le volet Présentation (Overview).

  3. Déterminez les réseaux/sous-réseaux pour la sélection du chiffrement du trafic (trafic intéressant) et notez-les. Ces derniers doivent provenir de segments dans Mise en réseau et sécurité (Networking and Security) de VMware Cloud. [Pour les localiser, cliquez sur Segments, sous Réseau (Network).]
  4. Connectez-vous à SD-WAN Orchestrator et vérifiez que les dispositifs SD-WAN Edge s'affichent (une icône d'état verte s'affiche en regard de ces dispositifs).

  5. Accédez à l'onglet Configurer (Configure), puis cliquez sur Services réseau route (Network Services). Sous Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway), cliquez sur le bouton Nouveau.

  6. Fournissez un nom pour la destination non-SD-WAN via une passerelle. Sélectionnez le type, dans ce cas, Routeur IKEv2 générique (VPN basé sur une route), entrez l'adresse IP publique à partir du VMC obtenu à l'étape 2, puis cliquez sur Suivant (Next).

  7. Cliquez sur le bouton Avancé (Advanced ) et effectuez les opérations suivantes :
    1. Passez à la PSK souhaitée.
    2. Assurez-vous que le chiffrement est défini sur AES 128.
    3. Passez le groupe DH sur 2.
    4. Activez PFS sur 2.
    5. Algorithme d'authentification défini sur SHA 1.
    6. Activez le sous-réseau de site, car les sous-réseaux sont appris via BGP. (Si BGP n'est pas configuré, ajoutez les sous-réseaux de site capturés à l'étape 3, comme route statique).
    7. Cochez la case en regard de Activer les tunnels (Enable Tunnels).
    8. Cliquez sur Enregistrer les modifications (Save Changes).

  8. Cliquez sur Afficher le modèle IKE/IPsec (View IKE/IPsec Template) et copiez les informations dans un fichier texte, puis fermez la fenêtre.

  9. Dans le volet de gauche, cliquez sur Configurer (Configure) > Profils (Profiles).

  10. Accédez au profil du dispositif SD-WAN Edge associé et cliquez sur le profil approprié.
  11. Dans le profil correct, effectuez les opérations suivantes.
    1. Accédez à l'onglet Périphérique (Device), sous VPN cloud (Cloud VPN) et Site distant vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destination via Gateway), cochez la case en regard de l'option Activer (Enable).
    2. Dans le menu déroulant, sélectionnez la NSD via la passerelle qui a été créée (à partir de l'étape 6).
    3. Cliquez sur le bouton Enregistrer les modifications (Save Changes) en haut de l'écran.

  12. Accédez à la page de service Réseau (Network), cliquez sur le bouton BGP dans la zone de service NSD via la passerelle (NSD via Gateway).

  13. Configurez les paramètres BGP.
    1. Configurer l'ASN local 65001
    2. Adresse IP du Neighbor : 169.254.32.2 c) ASN d'homologue 65000 (l'ASN par défaut de VMC est 65000)
    3. Adresse IP locale : 169.254.32.1
      Note : Il est recommandé d'utiliser un CIDR /30 à partir du sous-réseau 169.254.0.0/16, en excluant les adresses réservées VMC suivantes : 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

    Le tunnel doit être prêt sur le dispositif SD-WAN Orchestrator avec BGP sur IPSec.
  14. Connectez-vous à la console VMware Cloud.
  15. Accédez à Mise en réseau et sécurité (Networking and Security) et cliquez sur l'onglet VPN. Dans la zone VPN, sélectionnez VPN basé sur une route (Route Based VPN), puis cliquez sur Ajouter un VPN (Add VPN).

  16. Fournissez un nom pour le VPN basé sur une route et configurez les éléments suivants.
    1. Choisissez un nom. (Choisissez un nom qui commence par « To_SDWAN_Gateway » afin d'identifier facilement le VPN lors du dépannage et du support ultérieur).
    2. Sélectionnez l'adresse IP publique.
    3. Entrez l'adresse IP publique distante.
    4. Entrez l'adresse IP privée distante. REMARQUE : cela nécessite un appel au support GSS, reportez-vous à l'article suivant de la base de connaissances et mentionnez l'ID de base de connaissances lorsque vous contactez le support. https:// ikb.vmware.com/s/article/78196.
    5. Spécifiez l'adresse IP locale BGP.
    6. Spécifiez l'adresse IP distante BGP.
    7. Sous Chiffrement du tunnel (Tunnel Encryption), sélectionnez AES 128.
    8. Sous Algorithme Digest de tunnel (Tunnel Digest Algorithm), sélectionnez SHA1.
    9. Assurez-vous que Perfect Forward Secrecy est défini sur Activé (Enabled).
    10. Entrez la PSK, conformément aux instructions de l'étape 7A.
    11. Sous Chiffrement IKE (IKE Encryption), sélectionnez AES 128.
    12. Sous Algorithme Digest IKE (IKE Digest Algorithm), sélectionnez SHA 1.
    13. Sous Type d'IKE (IKE Type), sélectionnez IKEv2.
    14. Sous Diffie Hellman, sélectionnez Groupe 2 (Group 2).
    15. Cliquez sur Enregistrer (Save).

  17. Une fois la configuration terminée, le tunnel est automatiquement activé et continue de négocier les paramètres d'IKE phase 1 et phase 2 avec l'homologue, qui est la passerelle SD-WAN Gateway.

  18. Une fois que le tunnel s'affiche (vert), vérifiez l'état du tunnel/BGP de la NSD via la passerelle dans le dispositif SD-WAN Orchestrator [accédez à Surveiller (Monitor) > Services réseau (Network Services)].

  19. Lancez un ping à partir d'un client connecté à chaque extrémité vers le client opposé, puis vérifiez l'accessibilité au ping. La configuration du tunnel a été effectuée et vérifiée.