Questa sezione include una breve panoramica e procedure dettagliate per configurare la connettività tra un NSD basato su route tramite gateway e un gateway VMware Cloud AWS.

Panoramica della connettività tra NSD basato su route tramite gateway e un gateway VMware Cloud AWS

La figura seguente illustra l'integrazione di VMware SD-WAN e VMware Cloud on AWS, che utilizza la connettività IPSec tra VMware SD-WAN Gateway e VMware Cloud Gateway.

Procedura

In questa sezione vengono fornite procedure dettagliate su come ottenere la connettività tra un SD-WAN Gateway e un VMware Cloud Gateway.
  1. Accedere alla console di VMware Cloud in base all'URL dell'organizzazione SDDC (la pagina di accesso di VMware Cloud Services). In Cloud Services Platform, selezionare VMware Cloud on AWS.
  2. Individuare l'IP pubblico utilizzato per la connettività VPN facendo clic sulla scheda Rete e sicurezza (Networking and Security). L'IP pubblico della VPN viene visualizzato sotto il riquadro Panoramica (Overview).

  3. Determinare le reti/subnet per la selezione della crittografia del traffico (traffico interessante) e prenderne nota. Queste dovrebbero provenire da Segmenti in Rete/Sicurezza in VMware Cloud (per individuare questa sezione, fare clic su Segmenti (Segments), in Rete (Network)).
  4. Accedere a SD-WAN Orchestrator e verificare che gli SD-WAN Edge siano visualizzati (accanto a tali Edge è presente un'icona di stato verde).

  5. Passare alla scheda Configura (Configure) e fare clic su Servizi di rete (Network Services). In Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway), fare clic sul pulsante Nuovo (New).

  6. Specificare un nome per la destinazione non SD-WAN tramite gateway. Selezionare il tipo, in questo caso, Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) e immettere l'IP pubblico del VMC ottenuto nel passaggio 2, quindi fare clic su Avanti (Next).

  7. Fare clic sul pulsante Avanzate (Advanced) e completare quanto segue:
    1. Passare alla PSK desiderata.
    2. Assicurarsi che la crittografia sia impostata su AES 128.
    3. Impostare Gruppo DH (DH Group) su 2.
    4. Impostare PFS su 2.
    5. Impostare l'algoritmo di autenticazione su SHA 1.
    6. Disattivare la subnet del sito perché le subnet vengono acquisite tramite BGP. Se BGP non è configurato, aggiungere le subnet del sito acquisite al passaggio 3, come la route statica.
    7. Fare clic sulla casella di controllo accanto a Abilita tunnel (Enable Tunnels).
    8. Fare clic su Salva modifiche (Save Changes).

  8. Fare clic su Visualizza modello IKE/IPSec (View IKE/IPSec Template) e copiare le informazioni in un file di testo, quindi chiudere la finestra.

  9. Nel riquadro a sinistra, fare clic su Configura (Configure ) > Profili (Profiles).

  10. Passare al profilo per l'SD-WAN Edge associato e fare clic sul profilo appropriato.
  11. Nel profilo corretto completare quanto segue.
    1. Passare alla scheda Dispositivo (Device), in VPN cloud (Cloud VPN) e Da filiale a destinazione non SD-WAN tramite gateway (Branch to Non SD-WAN Destination via Gateway), fare clic sulla casella di controllo accanto ad Abilita (Enable).
    2. Nel menu a discesa, selezionare l'NSD tramite gateway che è stato creato (a partire dal passaggio 6).
    3. Fare clic sul pulsante Salva modifiche (Save Changes) nella parte superiore della schermata.

  12. Passare alla pagina del servizio Rete (Network) e fare clic sul pulsante BGP nell'area del servizio NSD tramite gateway.

  13. Configurare i parametri BGP:
    1. Configurare l'ASN locale 65001
    2. IP router adiacente 169.254.32.2 - ASN peer 65000 (l'ASN predefinito di VMC è 65000)
    3. IP locale 169.254.32.1
      Nota: È consigliabile utilizzare un CIDR /30 CIDR della subnet 169.254.0.0/16 escludendo i seguenti indirizzi riservati VMC: 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

    Il tunnel deve essere pronto in SD-WAN Orchestrator con BGP su IPSec.
  14. Accedere alla console di VMware Cloud.
  15. Passare a Rete e sicurezza (Networking and Security) e fare clic sulla scheda VPN. Nell'area VPN, selezionare VPN basata su route (Route Based VPN) e fare clic su Aggiungi VPN (Add VPN).

  16. Specificare un nome per la VPN basata su route e configurare quanto segue.
    1. Scegliere un nome. (che inizi con "To_SDWAN_Gateway", in modo che la VPN possa essere facilmente identificata in caso di risoluzione dei problemi e durante gli interventi di assistenza futuri).
    2. Selezionare l'IP pubblico.
    3. Immettere l'IP pubblico remoto.
    4. Immettere l'IP privato remoto. Nota: questa operazione richiederà una chiamata al supporto di GSS, consultare il seguente articolo della KB e menzionare l'ID KB quando si contatta il supporto. https://ikb.vmware.com/s/article/78196.
    5. Specificare l'IP locale di BGP.
    6. Specificare l'IP remoto di BGP.
    7. In Crittografia tunnel (Tunnel Encryption), selezionare AES 128.
    8. In Algoritmo del digest del tunnel (Tunnel Digest Algorithm), selezionare SHA1.
    9. Assicurarsi che Perfect Forward Secrecy sia impostato su Abilitato (Enabled).
    10. Immettere la PSK corrispondente a quella del passaggio 7A.
    11. In Crittografia IKE (IKE Encryption), selezionare AES 128.
    12. In Algoritmo digest IKE (IKE Digest Algorithm), selezionare SHA 1.
    13. In Tipo IKE (IKE Type), selezionare IKEv2.
    14. In Diffie Hellman, selezionare Gruppo 2.
    15. Fare clic su Salva (Save).

  17. Una volta completata la configurazione, il tunnel viene attivato automaticamente e procede alla negoziazione dei parametri Fase 1 e Fase 2 di IKE con il peer, ovvero SD-WAN Gateway.

  18. Quando il tunnel viene visualizzato (verde), verificare lo stato di NSD tramite tunnel gateway/BGP in SD-WAN Orchestrator (passare a Monitora (Monitor) > Servizi di rete (Network Services)).

  19. Avviare un ping da un client connesso ad ogni estremità verso il client opposto e verificare la raggiungibilità del ping. La configurazione del tunnel è stata completata e verificata.