Αυτή η ενότητα περιγράφει αναλυτικά τις διαδικασίες σχετικά με τον τρόπο επίτευξης συνδεσιμότητας μεταξύ του Πύλη SD-WAN και μιας πύλης VMware Cloud.
Επισκόπηση
Η παρακάτω εικόνα περιγράφει την ενοποίηση του VMware SD-WAN και του VMware Cloud on AWS, το οποίο χρησιμοποιεί συνδεσιμότητα IPSec μεταξύ της πύλης VMware SD-WAN και του VMware Cloud στον δρομολογητή.
Διαδικασία
- Συνδεθείτε στην κονσόλα VMware Cloud με βάση το URL για τον οργανισμό SDDC (η σελίδα σύνδεσης VMware Cloud Services).
Στην πλατφόρμα Cloud Services, επιλέξτε VMware Cloud on AWS.
- Βρείτε τη δημόσια IP που χρησιμοποιείται για τη συνδεσιμότητα VPN, κάνοντας κλικ στην καρτέλα Δίκτυο και ασφάλεια (Networking and Security). Η δημόσια IP του VPN εμφανίζεται κάτω από το παράθυρο Επισκόπηση (Overview).
- Καθορίστε τα δίκτυα/υποδίκτυα για την επιλογή κρυπτογράφησης κυκλοφορίας (ενδιαφέρουσα κυκλοφορία) και σημειώστε τα. Αυτά θα πρέπει να προέρχονται από τμήματα δικτύωσης/ασφάλειας στο VMware Cloud. (Εντοπίστε τα κάνοντας κλικ στην επιλογή Τμήματα (Segments), στην ενότητα Δίκτυο (Network).
- Συνδεθείτε στο SD-WAN Orchestrator και βεβαιωθείτε ότι εμφανίζονται τα SD-WAN Edges με ένα πράσινο εικονίδιο κατάστασης δίπλα τους.
- Μεταβείτε στην καρτέλα Διαμόρφωση (Configure) και κάντε κλικ στην επιλογή Υπηρεσίες δικτύου (Network Services) και, στη συνέχεια, στην ενότητα Τοποθεσίες μη-VeloCloud (Non-VeloCloud Sites), κάντε κλικ στο κουμπί Νέα (New).
- Δώστε ένα όνομα στην τοποθεσία μη-VeloCloud, επιλέξτε τον τύπο, στην περίπτωση αυτή, Γενικό τείχος προστασίας (VPN βασισμένο σε πολιτική) και εισαγάγετε τη δημόσια IP από το VMC που αποκτήθηκε στο Βήμα 2 και κάντε κλικ στην επιλογή Επόμενο (Next).
- Κάντε κλικ στο κουμπί Για προχωρημένους (Advanced) και στην Πρωτεύουσα πύλη VPN:
- Αλλάξτε στο επιθυμητό PSK.
- Βεβαιωθείτε ότι η κρυπτογράφηση έχει οριστεί σε AES 256.
- Αλλάξτε την ομάδα DH σε 5.
- Ενεργοποιήστε το PFS σε 5.
- Εισαγάγετε τα υποδίκτυα τοποθεσίας που έχουν καταγραφεί στο Βήμα 3.
- Κάντε κλικ στο πλαίσιο ελέγχου στην επιλογή Ενεργοποίηση διοχετεύσεων (Enable Tunnels).
- Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
- Κάντε κλικ στην επιλογή Προβολή προτύπου IKE/IPSec (View IKE/IPSec Template) και αντιγράψτε τις πληροφορίες σε ένα αρχείο κειμένου και, στη συνέχεια, κλείστε το παράθυρο.
- Στο αριστερό παραθύρου, κάντε κλικ στις επιλογές Διαμόρφωση > Προφίλ (Configure > Profiles).
- Μεταβείτε στο προφίλ για το συσχετισμένο SD-WAN Edge και κάντε κλικ στο κατάλληλο προφίλ.
- Κάτω από το σωστό προφίλ:
- Μεταβείτε στην καρτέλα Συσκευή (Device), στην περιοχή Cloud VPN και Διακλάδωση σε τοποθεσία μη VeloCloud (Branch to Non-VeloCloud Site), κάντε κλικ στο πλαίσιο ελέγχου δίπλα στην επιλογή Ενεργοποίηση (Enable).
- Στο αναπτυσσόμενο μενού, επιλέξτε την υπηρεσία δικτύου NVS που δημιουργήθηκε (στην αρχή του Βήματος 5).
- Κάντε κλικ στο κουμπί Αποθήκευση αλλαγών (Save Changes) στο επάνω μέρος της οθόνης.
- Η διοχέτευση θα πρέπει να είναι έτοιμη στο SD-WAN Orchestrator.
- Συνδεθείτε στο VMware Cloud Console.
- Μεταβείτε στην καρτέλα Δικτύωση και ασφάλεια (Networking and Security) και κάντε κλικ στην καρτέλα VPN. Στην περιοχή VPN, επιλέξτε VPN βασισμένο σε πολιτική (Policy Based VPN) και κάντε κλικ στην επιλογή Προσθήκη VPN (Add VPN).
- Δώστε ένα όνομα για το VPN βασισμένο σε πολιτική και διαμορφώστε τα εξής:
- Επιλέξτε ένα όνομα. (Επιλέξτε ένα όνομα που αρχίζει με «To_SDWAN_Gateway», έτσι ώστε το VPN να μπορεί εύκολα να αναγνωριστεί κατά την αντιμετώπιση προβλημάτων και τη μελλοντική υποστήριξη).
- Επιλέξτε τη δημόσια IP.
- Εισαγάγετε την απομακρυσμένη δημόσια IP.
- Εισαγάγετε την απομακρυσμένη ιδιωτική IP. ΣΗΜΕΙΩΣΗ: Αυτό θα απαιτήσει μια κλήση στην υποστήριξη GSS, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής βάσης και αναφέρετε το αναγνωριστικό της Γνωσιακής βάσης κατά την επικοινωνία με την Υποστήριξη. https://ikb.vmware.com/s/article/78196.
- Καθορίστε τα απομακρυσμένα δίκτυα που βρίσκονται στο SD-WAN Orchestrator.
- Επιλέξτε τα τοπικά δίκτυα.
- Στην ενότητα Κρυπτογράφηση διοχέτευσης (Tunnel Encryption), επιλέξτε AES 256.
- Στην ενότητα Αλγόριθμος Digest διοχέτευσης (Tunnel Digest Algorithm), επιλέξτε SHA1.
- Βεβαιωθείτε ότι το Perfect Forward Secrecy έχει οριστεί ως Ενεργοποιημένο (Enabled).
- Εισαγάγετε το PSK, έτσι ώστε να ταιριάζει με το Βήμα 7Α.
- Στην ενότητα Κρυπτογράφηση IKE (IKE Encryption), επιλέξτε AES 256.
- Στην ενότητα Αλγόριθμος Digest IKE (IKE Digest Algorithm), επιλέξτε SHA 1.
- Στην ενότητα Τύπος IKE (IKE Type), επιλέξτε IKEv2.
- Στην ενότητα Diffie Hellman, επιλέξτε Ομάδα 5.
- Κάντε κλικ στην επιλογή Αποθήκευση (Save).
- Μόλις ολοκληρωθεί η διαμόρφωση, η διοχέτευση ενεργοποιείται αυτόματα και θα προχωρήσει στη διαπραγμάτευση των παραμέτρων φάσης 1 και φάσης 2 του IKE με τον ομότιμο που είναι η Πύλη SD-WAN.
- Μόλις εμφανιστεί η διοχέτευση (πράσινο), βεβαιωθείτε ότι η διοχέτευση δεν εμφανίζει το πράσινο στο SD-WAN Orchestrator (μεταβείτε στις επιλογές Παρακολούθηση (Monitor) > Υπηρεσίες δικτύου (Network Services)).
- Ξεκινήστε ένα ping από πελάτη που είναι συνδεδεμένο σε κάθε άκρο προς τον αντίθετο πελάτη και επαληθεύστε την προσβασιμότητα του ping.
Η διαμόρφωση της διοχέτευσης έχει ολοκληρωθεί και επαληθευτεί.