Questa sezione include una breve panoramica e procedure dettagliate per configurare la connettività tra un NSD basato su route tramite Edge e un gateway VMware Cloud AWS.

Panoramica della connettività tra un NSD basato su route tramite Edge e un gateway VMware Cloud AWS

La figura seguente illustra l'integrazione di VMware SD-WAN e VMware Cloud on AWS, che utilizza la connettività IPSec tra VMware SD-WAN Edge e VMware Cloud Gateway.

Procedura

In questa sezione vengono fornite procedure dettagliate su come ottenere la connettività tra un SD-WAN Edge e un VMware Cloud Gateway.
  1. Accedere alla console di VMware Cloud in base all'URL dell'organizzazione SDDC (la pagina di accesso di VMware Cloud Services). In Cloud Services Platform, selezionare VMware Cloud on AWS.
  2. Individuare l'IP pubblico utilizzato per la connettività VPN facendo clic sulla scheda Rete e sicurezza (Networking and Security). L'IP pubblico della VPN viene visualizzato sotto il riquadro Panoramica (Overview).

  3. Determinare le reti/subnet per la selezione della crittografia del traffico (traffico di interesse) e annotarle. Queste dovrebbero provenire da Segmenti in Rete/Sicurezza in VMware Cloud (per individuare questa sezione, fare clic su Segmenti (Segments), in Rete (Network)).
  4. Accedere a SD-WAN Orchestrator e verificare che siano presenti SD-WAN Edge con un'icona di stato verde accanto.

  5. Passare alla scheda Configura (Configure) e fare clic su Servizi di rete (Network Services) e quindi in Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge), fare clic sul pulsante Nuovo (New).

  6. Specificare un nome per Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge), selezionare il tipo, in questo caso Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) e fare clic su Avanti (Next).

  7. Fare clic sul pulsante Avanzate (Advanced) e specificare i dettagli seguenti.
    1. Immettere l'IP pubblico del VMC ottenuto nel passaggio 2.
    2. Assicurarsi che la crittografia sia impostata su AES 128.
    3. Impostare Gruppo DH (DH Group) su 2.
    4. Impostare PFS su 2.
    5. Impostare l'algoritmo di autenticazione su SHA 1.
    6. Le subnet verranno acquisite tramite BGP (se BGP non è configurato, aggiungere le subnet del sito acquisite nel passaggio 3, ad esempio la route statica).
    7. Fare clic su Salva modifiche (Save Changes).

  8. Nel riquadro a sinistra, fare clic su Configura (Configure ) > Edge (Edges).

  9. Passare alla pagina delle impostazioni del dispositivo dell'Edge in cui NSD verrà associato.
  10. Nelle impostazioni del dispositivo dell'Edge, completare quanto segue.
    1. In VPN cloud (Cloud VPN) e Da filiale a destinazione non SD-WAN tramite Edge (Branch to Non SD-WAN Destination via Edge), fare clic sulla casella di controllo accanto a Abilita (Enable).
    2. Nel menu a discesa, selezionare NSD tramite Edge.

  11. Fare clic sul pulsante Aggiungi (Add) e aggiornare i seguenti campi (vedere l'immagine seguente).
    1. Selezionare il link WAN dell'Edge da cui creare il tunnel NSD.
    2. Come tipo di ID locale, specificare Indirizzo IP (IP Address).
    3. L'ID locale sarà l'IP pubblico del link WAN.
    4. Immettere la PSK.
    5. In IP pubblico primario di destinazione (Destination primary Public IP) specificare l'IP pubblico del gateway VMC.

  12. Attivare le impostazioni BGP per un Edge come illustrato nell'immagine seguente.

  13. Fare clic sul pulsante Modifica (Edit) e aggiornare i parametri BGP per il router adiacente NSD.
    1. Selezionare il nome NSD configurato.
    2. Selezionare il link WAN dell'Edge a cui è associato NSD.
    3. Impostare il valore di ASN locale su 65001.
    4. Specificare 169.254.32.2 come IP del router adiacente.
    5. Specificare 65000 come ASN peer (l'ASN predefinito di VMC è 65000).
    6. Specificare 169.254.32.1 come IP locale. NOTA: è consigliabile utilizzare un CIDR /30 della subnet 169.254.0.0/16 escludendo i seguenti indirizzi riservati VMC: 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

  14. Il tunnel deve essere pronto in SD-WAN Orchestrator con BGP su IPSec.
  15. Accedere alla console di VMware Cloud.
  16. Passare a Rete e sicurezza (Networking and Security) e fare clic sulla scheda VPN. Nell'area VPN, selezionare VPN basata su route (Route Based VPN) e fare clic su Aggiungi VPN (Add VPN).

  17. Specificare un nome per la VPN basata su route e configurare quanto segue.
    1. Scegliere un nome. (Scegliere un nome che inizi con "To_SDWAN_EDGE", in modo che la VPN possa essere facilmente identificata per la risoluzione dei problemi e durante gli interventi di assistenza futuri).
    2. Selezionare l'IP pubblico.
    3. Immettere l'IP pubblico remoto. (IP pubblico link WAN Edge).
    4. Immettere l'IP privato remoto. Deve essere uguale a quello della sezione 11c.
    5. Specificare l'IP locale di BGP.
    6. Specificare l'IP remoto di BGP.
    7. In Crittografia tunnel (Tunnel Encryption), selezionare AES 128.
    8. In Algoritmo del digest del tunnel (Tunnel Digest Algorithm), selezionare SHA1.
    9. Assicurarsi che Perfect Forward Secrecy sia impostato su Abilitato (Enabled).
    10. Immettere la PSK corrispondente a quella del passaggio 12d.
    11. In Crittografia IKE (IKE Encryption), selezionare AES 128.
    12. In Algoritmo digest IKE (IKE Digest Algorithm), selezionare SHA 1.
    13. In Tipo IKE (IKE Type), selezionare IKEv2.
    14. In Diffie Hellman, selezionare Gruppo 2.
    15. Fare clic su Salva (Save).

  18. Una volta completata la configurazione, il tunnel viene attivato automaticamente e procede alla negoziazione dei parametri Fase 1 e Fase 2 di IKE con il peer, ovvero SD-WAN EDGE.

  19. Quando il tunnel viene visualizzato (verde), verificare lo stato di NSD tramite tunnel Edge/BGP in SD-WAN Orchestrator (passare a Monitora (Monitor) > Servizi di rete (Network Services)).

  20. Avviare un ping da un client connesso ad ogni estremità verso il client opposto e verificare la raggiungibilità del ping. La configurazione del tunnel è stata completata e verificata.