I VMware SD-WAN Edge vengono in genere distribuiti in un VPC di transito su Amazon Web Services (AWS). AWS ha introdotto il supporto per il servizio AWS TGW (Transit Gateway) Connect per le appliance SD-WAN per la connessione al Transit Gateway. VMware SD-WAN Edge dispone ora di una funzionalità (supporto BGP su GRE nella LAN), che consente al supporto di VMware SD-WAN Edge di utilizzare il servizio Connect AWS TGW per la connettività al AWS Transit Gateway.
Per il servizio AWS TGW Connect, l'Edge con provisioning nel VPC di transito deve utilizzare l'interfaccia LAN (instradata, non WAN) per configurare il tunnel GRE. In questo modo viene utilizzato di fatto l'IP privato configurato in Edge Intelligence (EI) per configurare il tunnel GRE verso il Transit Gateway.
Procedura di configurazione di Amazon Web Services (AWS)
- Nel portale AWS, eseguire il provisioning di un AWS Transit Gateway in una determinata regione. In questa stessa regione deve essere presente il VPC di transito, in cui viene eseguito il provisioning del VMware SD-WAN Edge.
Verificare la presenza del blocco CIDR del Transit Gateway da configurare, come illustrato nell'immagine seguente.Nota: Per l'endpoint GRE in AWS TGW viene utilizzato un IP di questo blocco. L'ASN Amazon viene utilizzato in un secondo momento nella configurazione BGP nel VMware SD-WAN Edge.
- Creare un collegamento VPC per il VPC di transito specificando le subnet in cui si trova l'interfaccia LAN dell'Edge o dell'EI.
Dopo aver creato il Collegamento VPC, Disponibile (Available) verrà visualizzato nella colonna Stato (State).
- Creare un Collegamento Connect utilizzando il collegamento VPC.
Dopo aver creato il Collegamento Connect, Disponibile (Available) verrà visualizzato nella colonna Stato (State).
- Creare un peer di Connect, che verrà tradotto in un tunnel GRE. Specificare i seguenti parametri: Indirizzo GRE Transit Gateway, Indirizzo GRE peer, Blocco CIDR interno BGP e ASN peer.
Nota: Il blocco CIDR interno BGP e l'ASN peer devono corrispondere a quello configurato nel VMware SD-WAN Edge.Nell'esempio precedente:
- 172.43.0.24 è l'indirizzo IP esterno GRE in AWS TGW. Questo IP viene allocato dal blocco CIDR del Transit Gateway.
- 10.1.1.30 è l'indirizzo IP esterno GRE nel 'VMware SD-WAN Edge.
- 169.254.31.0/29 è il blocco CIDR interno. Gli indirizzi di questo blocco vengono utilizzati per il router adiacente BGP.
- 169.254.31.1 è l'indirizzo IP nel VMware SD-WAN Edge.
- 169.254.31.2 e 169.254.31.3 sono indirizzi utilizzati per BGP in AWS TGW.
- 64512 è l'ASN BGP configurato in AWS TGW.
- 65000 è l'ASN BGP configurato nel VMware SD-WAN Edge.
La mappa delle risorse del VPC per il VPC di transito elenca la subnet lato LAN con la tabella di routing, come illustrato nell'immagine seguente. - Nella tabella di route VPC di transito, aggiungere una route per il blocco CIDR TGW con Destinazione o Hop successivo come Collegamento VPC.
Nota: Ad esempio, 172.43.0.0/24 è il blocco CIDR di AWS TGW.
- Nella stessa tabella di route, verificare che la subnet EI LAN disponga di un'associazione di subnet esplicita.
Procedura di configurazione VMware SASE Orchestrator
- In VMware SASE Orchestrator, passare a Servizi di rete (Network Services) > Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge) e configurare il tunnel GRE con AWS Transit Gateway Connect.
Nota: Quando si configura il tunnel GRE con il servizio AWS Transit Gateway Connect, vedere le note importanti seguenti:
- L'unico parametro della modalità tunnel che è possibile configurare è Attivo/Attivo.
- Non sono presenti meccanismi Keepalive per il tunnel GRE con il servizio AWS Transit Gateway.
- BGP verrà configurato per impostazione predefinita per i tunnel GRE. Per lo stato del router adiacente BGP vengono utilizzati keepalive BGP.
- L'Edge non supporta ECMP in più tunnel. Pertanto, per il traffico in uscita verrà utilizzato un solo tunnel GRE.
- In Profilo (Profile), abilitare CloudVPN, abilitare Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge) e scegliere NSD.
- Nella configurazione dell'Edge in Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), selezionare l'NSD configurato.
- Per l'NSD specifico, configurare i parametri del tunnel GRE selezionando il segno +. Configurare i dettagli seguenti:
- Origine tunnel come interfaccia LAN
- IP di origine tunnel come indirizzo IP configurato nell'interfaccia LAN, se specificato dinamicamente utilizzare Diagnostica remota (Remote Diagnostics) > Statistiche interfaccia (Interface Stats) per ottenere l'indirizzo IP
- ASN TGW
- I parametri del tunnel primario possono essere configurati fornendo, IP di destinazione, l'indirizzo IP fornito nel peer TGW Connect
- La rete/maschera interna deve essere uguale a quella specificata nella configurazione del peer interno TGW Connect.
- I parametri del tunnel secondario possono essere configurati per l'IP di destinazione e la rete/maschera interna.
Nota: BGP verrà abilitato per impostazione predefinita per questa funzionalità. Il campo ASN locale verrà precompilato.Viene visualizzata la configurazione Non SD-WAN tramite Edge (Non SD-WAN via Edge), come illustrato nell'immagine.
- La configurazione precedente creerà automaticamente la configurazione BGP per i router adiacenti. Ogni configurazione del tunnel GRE verso AWS Transit Gateway verrà creata automaticamente per due router adiacenti BGP con informazioni relative al nome del link, all'IP del router adiacente, al tipo di tunnel e all'ASN.
In Opzioni aggiuntive (Additional Options), l'hop max eBGP è configurato come 2, poiché si tratta di un requisito per il servizio TGW Connect. I parametri aggiuntivi che vengono compilati sono Keepalive e Hold Timer in base al consiglio fornito da AWS. Anche l'IP locale di BGP viene precompilato. Questi parametri non possono essere modificati.Nota:
- Verranno aggiunti automaticamente due router adiacenti BGP NSD.
- Il campo Opzioni aggiuntive (Additional Options) verrà modificato per i valori hop max, IP locale, Keep-alive e Hold Timer.
- Per l'endpoint del tunnel GRE, configurare una route statica nel VMware SD-WAN Edge che specifichi l'hop successivo per specificare il gateway predefinito della subnet e l'interfaccia come interfaccia LAN.