Αυτή η ενότητα παρέχει μια σύντομη επισκόπηση και λεπτομερείς διαδικασίες για τη διαμόρφωση NSD βασισμένου σε δρομολόγηση μέσω πύλης προς την πύλη VMware Cloud AWS.

Επισκόπηση NSD βασισμένου σε δρομολόγηση μέσω πύλης προς την πύλη VMware Cloud AWS

Η παρακάτω εικόνα απεικονίζει την ενοποίηση του VMware SD-WAN και του VMware Cloud on AWS, το οποίο χρησιμοποιεί συνδεσιμότητα IPSec μεταξύ της πύλης VMware SD-WAN και της πύλης VMware Cloud.

Διαδικασία

Αυτή η ενότητα περιγράφει αναλυτικά τις διαδικασίες σχετικά με τον τρόπο επίτευξης συνδεσιμότητας μεταξύ της πύλης SDWAN και μιας πύλης VMware Cloud.
  1. Συνδεθείτε στην κονσόλα VMware Cloud με βάση το URL για τον οργανισμό SDDC (η σελίδα σύνδεσης VMware Cloud Services). Στην πλατφόρμα Cloud Services, επιλέξτε VMware Cloud on AWS.
  2. Βρείτε τη δημόσια IP που χρησιμοποιείται για τη συνδεσιμότητα VPN, κάνοντας κλικ στην καρτέλα Δίκτυο και ασφάλεια (Networking and Security). Η δημόσια IP του VPN εμφανίζεται κάτω από το τμήμα παραθύρου Επισκόπηση (Overview).

  3. Καθορίστε τα δίκτυα/υποδίκτυα για την επιλογή κρυπτογράφησης κυκλοφορίας (ενδιαφέρουσα κυκλοφορία) και σημειώστε τα. Αυτά θα πρέπει να προέρχονται από τμήματα δικτύωσης/ασφάλειας στο VMware Cloud. (Εντοπίστε τα κάνοντας κλικ στην επιλογή Τμήματα (Segments), στην περιοχή Δίκτυο (Network).)
  4. Συνδεθείτε στο SD-WAN Orchestrator και βεβαιωθείτε ότι εμφανίζονται τα SD-WAN Edge (εμφανίζεται ένα πράσινο εικονίδιο κατάστασης δίπλα τους).

  5. Μεταβείτε στην καρτέλα Διαμόρφωση (Configure) και κάντε κλικ στην επιλογή Υπηρεσίες δικτύου (Network Services). Στην περιοχή Προορισμός μη SD-WAN μέσω πύλης (Non SD-WAN Destination via Gateway), κάντε κλικ στο κουμπί Νέος (New).

  6. Δώστε ένα όνομα για τον προορισμό μη SD-WAN μέσω πύλης. Επιλέξτε τον τύπο, σε αυτήν την περίπτωση, Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) (Generic IKEv2 Router (Route Based VPN)) και εισαγάγετε τη δημόσια IP από το VMC που αποκτήθηκε στο Βήμα 2 και κάντε κλικ στην επιλογή Επόμενο (Next).

  7. Κάντε κλικ στο κουμπί Για προχωρημένους (Advanced) και ολοκληρώστε τα εξής:
    1. Αλλάξτε στο επιθυμητό PSK.
    2. Βεβαιωθείτε ότι η κρυπτογράφηση έχει οριστεί σε AES 128.
    3. Αλλάξτε την ομάδα DH σε 2.
    4. Ενεργοποιήστε το PFS σε 2.
    5. Ο αλγόριθμος ελέγχου ταυτότητας έχει οριστεί σε SHA 1.
    6. Απενεργοποιήστε το υποδίκτυο τοποθεσίας, καθώς η ολοκληρωμένη εκμάθηση των υποδικτύων γίνεται μέσω BGP. (Εάν το BGP δεν έχει διαμορφωθεί, προσθέστε υποδίκτυα τοποθεσίας που έχουν καταγραφεί στο βήμα 3, όπως στατική δρομολόγηση).
    7. Κάντε κλικ στο πλαίσιο ελέγχου δίπλα στην επιλογή Ενεργοποίηση διοχετεύσεων (Enable Tunnels).
    8. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

  8. Κάντε κλικ στην επιλογή Προβολή προτύπου IKE/IPSec (View IKE/IPSec Template) και αντιγράψτε τις πληροφορίες σε ένα αρχείο κειμένου και, στη συνέχεια, κλείστε το παράθυρο.

  9. Στο αριστερό παραθύρου, κάντε κλικ στις επιλογές Διαμόρφωση > Προφίλ (Configure > Profiles).

  10. Μεταβείτε στο προφίλ για το συσχετισμένο SD-WAN Edge και κάντε κλικ στο κατάλληλο προφίλ.
  11. Κάτω από το σωστό προφίλ, ολοκληρώστε τα εξής.
    1. Μεταβείτε στην καρτέλα Συσκευή (Device), στην περιοχή Cloud VPN και Διακλάδωση προς προορισμό μη SD-WAN μέσω πύλης (Branch to Non SD-WAN Destination via Gateway), και κάντε κλικ στο πλαίσιο ελέγχου δίπλα στην επιλογή Ενεργοποίηση (Enable).
    2. Στο αναπτυσσόμενο μενού, επιλέξτε το NSD μέσω πύλης που δημιουργήθηκε (στην αρχή του Βήματος 6).
    3. Κάντε κλικ στο κουμπί Αποθήκευση αλλαγών (Save Changes) στο επάνω μέρος της οθόνης.

  12. Μεταβείτε στη σελίδα υπηρεσίας Δίκτυο (Network), κάντε κλικ στο κουμπί BGP στην περιοχή υπηρεσίας NSD μέσω πύλης.

  13. Διαμόρφωση παραμέτρων BGP:
    1. Διαμορφώστε το τοπικό ASN 65001
    2. Γειτονική IP (Neighbor IP) – 169.254.32.2 c) Ομότιμο ASN (Peer ASN) – 65000 (το προεπιλεγμένο ASN VMC είναι 65000)
    3. Τοπική IP (Local IP) – 169.254.32.1
      Σημείωση: Συνιστάται να χρησιμοποιήσετε ένα /30 CIDR από το υποδίκτυο 169.254.0.0/16, με εξαίρεση τις ακόλουθες δεσμευμένες διευθύνσεις VMC - 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

    Η διοχέτευση θα πρέπει να είναι έτοιμη στο SD-WAN Orchestrator με BGP μέσω IPSec.
  14. Συνδεθείτε στο VMware Cloud Console.
  15. Μεταβείτε στην καρτέλα Δικτύωση και ασφάλεια (Networking and Security) και κάντε κλικ στην καρτέλα VPN. Στην περιοχή VPN, επιλέξτε VPN βασισμένο σε δρομολόγηση (Route Based VPN) και κάντε κλικ στην επιλογή Προσθήκη VPN (Add VPN).

  16. Δώστε ένα όνομα για το VPN βασισμένο σε δρομολόγηση και διαμορφώστε τα εξής.
    1. Επιλέξτε ένα όνομα. (Επιλέξτε ένα όνομα που αρχίζει με «To_SDWAN_Gateway», έτσι ώστε το VPN να μπορεί εύκολα να αναγνωριστεί κατά την αντιμετώπιση προβλημάτων και τη μελλοντική υποστήριξη).
    2. Επιλέξτε τη δημόσια IP.
    3. Εισαγάγετε την απομακρυσμένη δημόσια IP.
    4. Εισαγάγετε την απομακρυσμένη ιδιωτική IP. ΣΗΜΕΙΩΣΗ: Αυτό θα απαιτήσει μια κλήση στην υποστήριξη GSS, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής βάσης και αναφέρετε το αναγνωριστικό της Γνωσιακής βάσης κατά την επικοινωνία με την Υποστήριξη. https:// ikb.vmware.com/s/article/78196.
    5. Καθορίστε την τοπική διεύθυνση ΙΡ του BGP.
    6. Καθορίστε την απομακρυσμένη διεύθυνση IP BGP.
    7. Στην περιοχή Κρυπτογράφηση διοχέτευσης (Tunnel Encryption), επιλέξτε AES 128.
    8. Στην περιοχή Αλγόριθμος Digest διοχέτευσης (Tunnel Digest Algorithm), επιλέξτε SHA1.
    9. Βεβαιωθείτε ότι το Perfect Forward Secrecy έχει οριστεί ως Ενεργοποιημένο (Enabled).
    10. Εισαγάγετε το PSK, έτσι ώστε να ταιριάζει με το Βήμα 7A.
    11. Στην ενότητα Κρυπτογράφηση IKE (IKE Encryption), επιλέξτε AES 128.
    12. Στην ενότητα Αλγόριθμος Digest IKE (IKE Digest Algorithm), επιλέξτε SHA 1.
    13. Στην ενότητα Τύπος IKE (IKE Type), επιλέξτε IKEv2.
    14. Στην ενότητα Diffie Hellman, επιλέξτε Ομάδα 2.
    15. Κάντε κλικ στην επιλογή Αποθήκευση (Save).

  17. Μόλις ολοκληρωθεί η διαμόρφωση, η διοχέτευση ενεργοποιείται αυτόματα και θα προχωρήσει στη διαπραγμάτευση των παραμέτρων φάσης 1 και φάσης 2 του IKE με τον ομότιμο που είναι η Πύλη SD-WAN.

  18. Μόλις εμφανιστεί η διοχέτευση (πράσινο), επιβεβαιώστε την κατάσταση NSD μέσω διοχέτευσης πύλης/BGP στο SD-WAN Orchestrator (μεταβείτε στη διαδρομή Παρακολούθηση (Monitor) > Υπηρεσίες δικτύου (Network Services)).

  19. Ξεκινήστε ένα ping από πελάτη που είναι συνδεδεμένο σε κάθε άκρο προς τον αντίθετο πελάτη και επαληθεύστε την προσβασιμότητα του ping. Η διαμόρφωση της διοχέτευσης έχει ολοκληρωθεί και επαληθευτεί.