In questa sezione vengono fornite procedure dettagliate su come ottenere la connettività tra un SD-WAN Gateway e un gateway VMware Cloud.

Panoramica

La figura seguente illustra l'integrazione di VMware SD-WAN e VMware Cloud on AWS, che utilizza la connettività IPSec tra il gateway VMware SD-WAN e VMware Cloud al router.

Procedura

  1. Accedere alla console di VMware Cloud in base all'URL dell'organizzazione SDDC (la pagina di accesso di VMware Cloud Services).

    In Cloud Services Platform, selezionare VMware Cloud on AWS.

  2. Individuare l'IP pubblico utilizzato per la connettività VPN facendo clic sulla scheda Rete e sicurezza. L'IP pubblico della VPN viene visualizzato sotto il riquadro Panoramica.

  3. Determinare le reti/subnet per la selezione della crittografia del traffico (traffico di interesse) e annotarle. Queste dovrebbero provenire da Segmenti in Rete/Sicurezza in VMware Cloud (per individuarle, fare clic su Segmenti (Segments), in Rete (Network).
  4. Accedere a SD-WAN Orchestrator e verificare che siano presenti SD-WAN Edge con un'icona di stato verde accanto.

  5. Passare alla scheda Configura (Configure) e fare clic su Servizi di rete (Network Services), quindi in Siti non VeloCloud (Non-VeloCloud Sites), fare clic sul pulsante Nuovo (New).

  6. Specificare un nome per il sito non VeloCloud, selezionare il tipo, in questo caso, Firewall generico (VPN basata su criteri) (Generic Firewall (Policy Based VPN)) e immettere l'IP pubblico del VMC ottenuto nel passaggio 2, quindi fare clic su Avanti (Next).

  7. Fare clic sul pulsante Avanzate (Advanced), quindi sotto Gateway VPN primario:
    1. Passare alla PSK desiderata.
    2. Assicurarsi che la crittografia sia impostata su AES 256.
    3. Impostare Gruppo DH su 5.
    4. Attivare PFS su 5.
    5. Immettere le subnet del sito acquisite nel passaggio 3.
    6. Fare clic sulla casella di controllo Abilita tunnel (Enable Tunnels).
    7. Fare clic su Salva modifiche (Save Changes).

  8. Fare clic su Visualizza modello IKE/IPSec (View IKE/IPSec Template) e copiare le informazioni in un file di testo, quindi chiudere la finestra.

  9. Nel riquadro a sinistra, fare clic su Configura (Configure ) > Profili (Profiles).

  10. Passare al profilo per l'SD-WAN Edge associato e fare clic sul profilo appropriato.
  11. Nel profilo corretto:
    1. Passare alla scheda Dispositivo (Device), in VPN cloud (Cloud VPN) e Da filiale a sito non VeloCloud (Branch to Non-VeloCloud Site), fare clic sulla casella di controllo accanto ad Abilita (Enable).
    2. Nel menu a discesa, selezionare il servizio di rete NVS che è stato creato (a partire dal passaggio 5).
    3. Fare clic sul pulsante Salva modifiche (Save Changes) nella parte superiore della schermata.

  12. Il tunnel deve essere pronto in SD-WAN Orchestrator.
  13. Accedere alla console di VMware Cloud.
  14. Passare a Rete e sicurezza (Networking and Security) e fare clic sulla scheda VPN. Nell'area VPN, selezionare VPN basata su criteri (Policy Based VPN) e fare clic su Aggiungi VPN (Add VPN).

  15. Specificare un nome per la VPN basata su criteri e configurare quanto segue:
    1. Scegliere un nome. (che inizi con "To_SDWAN_Gateway", in modo che la VPN possa essere facilmente identificata in caso di risoluzione dei problemi e durante gli interventi di assistenza futuri).
    2. Selezionare l'IP pubblico.
    3. Immettere l'IP pubblico remoto.
    4. Immettere l'IP privato remoto. Nota: questa operazione richiederà una chiamata al supporto di GSS, consultare il seguente articolo della KB e menzionare l'ID KB quando si contatta il supporto. https://ikb.vmware.com/s/article/78196.
    5. Specificare le reti remote situate in SD-WAN Orchestrator.
    6. Selezionare le reti locali.
    7. In Crittografia tunnel (Tunnel Encryption), selezionare AES 256.
    8. In Algoritmo digest tunnel (Tunnel Digest Algorithm), selezionare SHA1.
    9. Assicurarsi che Perfect Forward Secrecy sia impostato su Abilitato.
    10. Immettere la PSK corrispondente a quella del passaggio 7A.
    11. In Crittografia IKE (IKE Encryption), selezionare AES 256.
    12. In Algoritmo digest IKE (IKE Digest Algorithm), selezionare SHA 1.
    13. In Tipo IKE (IKE Type), selezionare IKEv2.
    14. In Diffie Hellman, selezionare Gruppo 5.
    15. Fare clic su Salva (Save).

  16. Una volta completata la configurazione, il tunnel viene attivato automaticamente e procede alla negoziazione dei parametri Fase 1 e Fase 2 di IKE con il peer, ovvero il SD-WAN Gateway.

  17. Una volta visualizzato il tunnel (verde), verificare che il tunnel mostri il colore verde in SD-WAN Orchestrator (passare a Monitora (Monitor) > Servizi di rete (Network Services)).

  18. Avviare un ping da un client connesso ad ogni estremità verso il client opposto e verificare la raggiungibilità del ping.

    La configurazione del tunnel è stata completata e verificata.