Αυτή η ενότητα παρέχει μια σύντομη επισκόπηση και λεπτομερείς διαδικασίες για τη διαμόρφωση NSD βασισμένου σε δρομολόγηση μέσω Edge προς την πύλη VMware Cloud AWS.

Επισκόπηση NSD βασισμένου σε δρομολόγηση μέσω Edge προς την πύλη VMware Cloud AWS

Η παρακάτω εικόνα απεικονίζει την ενοποίηση του VMware SD-WAN και του VMware Cloud on AWS, το οποίο χρησιμοποιεί συνδεσιμότητα IPSec μεταξύ του VMware SD-WAN Edge και της πύλης VMware Cloud.

Διαδικασία

Αυτή η ενότητα περιγράφει αναλυτικά τις διαδικασίες σχετικά με τον τρόπο επίτευξης συνδεσιμότητας μεταξύ του SDWAN Edge και μιας πύλης VMware Cloud.
  1. Συνδεθείτε στην κονσόλα VMware Cloud με βάση το URL για τον οργανισμό SDDC (η σελίδα σύνδεσης VMware Cloud Services). Στην πλατφόρμα Cloud Services, επιλέξτε VMware Cloud on AWS.
  2. Βρείτε τη δημόσια IP που χρησιμοποιείται για τη συνδεσιμότητα VPN, κάνοντας κλικ στην καρτέλα Δίκτυο και ασφάλεια (Networking and Security). Η δημόσια IP του VPN εμφανίζεται κάτω από το τμήμα παραθύρου Επισκόπηση (Overview).

  3. Καθορίστε τα δίκτυα/υποδίκτυα για την επιλογή κρυπτογράφησης κυκλοφορίας (ενδιαφέρουσα κυκλοφορία) και σημειώστε τα. Αυτά θα πρέπει να προέρχονται από τμήματα δικτύωσης/ασφάλειας στο VMware Cloud. (Εντοπίστε τα κάνοντας κλικ στην επιλογή Τμήματα (Segments), στην ενότητα Δίκτυο (Network).
  4. Συνδεθείτε στο SD-WAN Orchestrator και βεβαιωθείτε ότι εμφανίζονται τα SD-WAN Edge με ένα πράσινο εικονίδιο κατάστασης δίπλα τους.

  5. Μεταβείτε στην καρτέλα Διαμόρφωση (Configure) και κάντε κλικ στην επιλογή Υπηρεσίες δικτύου (Network Services) και, στη συνέχεια, στην περιοχή Προορισμός μη SD-WAN μέσω Edge (Non SD-WAN Destination via Edge), κάντε κλικ στο κουμπί Νέο (New).

  6. Δώστε ένα όνομα για τον Προορισμό μη SD-WAN μέσω Edge, επιλέξτε τον τύπο, στην περίπτωση αυτή, Γενικός δρομολογητής IKEv2 (VPN βασισμένο σε δρομολόγηση) (Generic IKEv2 Router(Route Based VPN)) και κάντε κλικ στην επιλογή Επόμενο (Next).

  7. Κάντε κλικ στο κουμπί Για προχωρημένους (Advanced) και παράσχετε τις παρακάτω λεπτομέρειες.
    1. Εισαγάγετε τη Δημόσια IP (Public IP) του VMC που αποκτήθηκε στο Βήμα 2.
    2. Βεβαιωθείτε ότι η κρυπτογράφηση έχει οριστεί σε AES 128.
    3. Αλλάξτε την ομάδα DH σε 2.
    4. Ενεργοποιήστε το PFS σε 2.
    5. Ο αλγόριθμος ελέγχου ταυτότητας έχει οριστεί σε SHA 1.
    6. Η ολοκληρωμένη εκμάθηση των υποδικτύων γίνεται μέσω BGP (εάν το BGP δεν έχει διαμορφωθεί, προσθέστε υποδίκτυα τοποθεσίας που έχουν καταγραφεί στο βήμα 3, π.χ. στατική δρομολόγηση).
    7. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

  8. Στο αριστερό τμήμα του παραθύρου, κάντε κλικ στις επιλογές Διαμόρφωση > Edge (Configure > Edges).

  9. Μεταβείτε στη σελίδα ρύθμισης συσκευής του Edge στην οποία θα συσχετιστεί το NSD.
  10. Κάτω από τη ρύθμιση συσκευής του Edge, ολοκληρώστε τα εξής.
    1. Στην περιοχή Cloud VPN και Διακλάδωση προς προορισμό μη SD-WAN μέσω Edge (Branch to Non SD-WAN Destination via Edge), κάντε κλικ στο πλαίσιο ελέγχου δίπλα στο στοιχείο Ενεργοποίηση (Enable).
    2. Στο αναπτυσσόμενο μενού, επιλέξτε το NSD μέσω Edge.

  11. Κάντε κλικ στο κουμπί Προσθήκη (Add) και ενημερώστε τα παρακάτω πεδία (βλ. την παρακάτω εικόνα).
    1. Επιλέξτε τη σύνδεση Edge WAN από όπου θα σχηματιστεί η διοχέτευση NSD.
    2. Τύπος τοπικού αναγνωριστικού – Διεύθυνση IP (Local ID type – IP address).
    3. Το τοπικό αναγνωριστικό θα είναι δημόσια IP της σύνδεσης WAN.
    4. Εισαγάγετε το PSK.
    5. Πρωτεύουσα δημόσια IP προορισμού – Δημόσια IP πύλης VMC (Destination Primary Public IP – Δημόσια IP πύλης VMC).

  12. Ενεργοποιήστε τις ρυθμίσεις BGP για ένα Edge, όπως φαίνεται στην παρακάτω εικόνα.

  13. Κάντε κλικ στο κουμπί Επεξεργασία (Edit) και ενημερώστε τις παραμέτρους BGP για το γειτονικό NSD.
    1. Επιλέξτε όνομα του διαμορφωμένου NSD.
    2. Σύνδεση Edge WAN όπου συσχετίζεται το NSD.
    3. Διαμορφώστε το τοπικό ASN 65001.
    4. Γειτονική ΙΡ (Neighbour IP) – 169.254.32.2.
    5. Ομότιμο ASN (Peer ASN) – 65000 (το προεπιλεγμένο ASN VMC είναι 65000).
    6. Τοπική IP (Local IP) – 169.254.32.1 ΣΗΜΕΙΩΣΗ: Συνιστάται να χρησιμοποιήσετε ένα /30 CIDR από υποδίκτυο 169.254.0.0/16, με εξαίρεση τις ακόλουθες δεσμευμένες διευθύνσεις VMC - 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

  14. Η διοχέτευση θα πρέπει να είναι έτοιμη στο SD-WAN Orchestrator με BGP μέσω IPSec.
  15. Συνδεθείτε στο VMware Cloud Console.
  16. Μεταβείτε στην καρτέλα Δικτύωση και ασφάλεια (Networking and Security) και κάντε κλικ στην καρτέλα VPN. Στην περιοχή VPN, επιλέξτε VPN βασισμένο σε δρομολόγηση (Route Based VPN) και κάντε κλικ στην επιλογή Προσθήκη VPN (Add VPN).

  17. Δώστε ένα όνομα για το VPN βασισμένο σε δρομολόγηση και διαμορφώστε τα εξής.
    1. Επιλέξτε ένα όνομα. (Επιλέξτε ένα όνομα που αρχίζει με «To_SDWAN_EDGE», έτσι ώστε το VPN να μπορεί εύκολα να αναγνωριστεί κατά την αντιμετώπιση προβλημάτων και τη μελλοντική υποστήριξη).
    2. Επιλέξτε τη δημόσια IP.
    3. Εισαγάγετε την απομακρυσμένη δημόσια IP. (Δημόσια IP σύνδεσης WAN του Edge).
    4. Εισαγάγετε την απομακρυσμένη ιδιωτική IP – θα πρέπει να είναι ίδια με αυτήν στην ενότητα 11c.
    5. Καθορίστε την τοπική διεύθυνση ΙΡ του BGP.
    6. Καθορίστε την απομακρυσμένη διεύθυνση IP BGP.
    7. Στην περιοχή Κρυπτογράφηση διοχέτευσης (Tunnel Encryption), επιλέξτε AES 128.
    8. Στην περιοχή Αλγόριθμος Digest διοχέτευσης (Tunnel Digest Algorithm), επιλέξτε SHA1.
    9. Βεβαιωθείτε ότι το Perfect Forward Secrecy έχει οριστεί ως Ενεργοποιημένο (Enabled).
    10. Εισαγάγετε το PSK, έτσι ώστε να ταιριάζει με το Βήμα 12d.
    11. Στην ενότητα Κρυπτογράφηση IKE (IKE Encryption), επιλέξτε AES 128.
    12. Στην ενότητα Αλγόριθμος Digest IKE (IKE Digest Algorithm), επιλέξτε SHA 1.
    13. Στην ενότητα Τύπος IKE (IKE Type), επιλέξτε IKEv2.
    14. Στην ενότητα Diffie Hellman, επιλέξτε Ομάδα 2.
    15. Κάντε κλικ στην επιλογή Αποθήκευση (Save).

  18. Μόλις ολοκληρωθεί η διαμόρφωση, η διοχέτευση ενεργοποιείται αυτόματα και θα προχωρήσει στη διαπραγμάτευση των παραμέτρων φάσης 1 και φάσης 2 του IKE με τον ομότιμο που είναι SD-WAN EDGE.

  19. Μόλις εμφανιστεί η διοχέτευση (πράσινο), επιβεβαιώστε την κατάσταση NSD μέσω διοχέτευσης Edge/BGP στο SD-WAN Orchestrator (μεταβείτε στη διαδρομή Παρακολούθηση (Monitor) > Υπηρεσίες δικτύου (Network Services)).

  20. Ξεκινήστε ένα ping από πελάτη που είναι συνδεδεμένο σε κάθε άκρο προς τον αντίθετο πελάτη και επαληθεύστε την προσβασιμότητα του ping. Η διαμόρφωση της διοχέτευσης έχει ολοκληρωθεί και επαληθευτεί.