このセクションでは、VMware Cloud on AWS Gateway への Edge 経由のルート ベース NSD を設定するための概要と手順について説明します。

VMware Cloud on AWS Gateway への Edge 経由のルート ベース NSD の概要

下の図は、VMware SD-WAN と VMware Cloud on AWS の統合を示し、VMware SD-WAN Edge と VMware Cloud Gateway が IPSec で接続されています。

手順

このセクションでは、SD-WAN Edge と VMware Cloud Gateway 間の接続を実現する方法を段階的に説明します。
  1. SDDC 組織の URL(VMware Cloud Services ログイン ページ)に基づいて VMware Cloud コンソールにログインします。Cloud Services プラットフォームで、VMware Cloud on AWS を選択します。
  2. [ネットワークとセキュリティ (Networking and Security)] タブをクリックして、VPN 接続に使用されているパブリック IP アドレスを検索します。VPN のパブリック IP アドレスが [概要 (Overview)] ペインに表示されます。

  3. トラフィック暗号化の選択(関心のあるトラフィック)のネットワーク/サブネットを特定し、書き留めます。これらは、VMware Cloud のネットワーク/セキュリティのセグメントから発生する必要があります。([ネットワーク (Network)] の下にある [セグメント (Segments)] をクリックして見つけます。)
  4. SD-WAN Orchestrator にログインして、SD-WAN Edge が存在し、その横に緑色の状態アイコンが表示されていることを確認します。

  5. [設定 (Configure)] タブに移動し、[ネットワーク サービス (Network Services)] をクリックして、[Edge 経由の Non SD-WAN Destination (Non SD-WAN Destination via Edge)] で [新規 (New)] ボタンをクリックします。

  6. Edge 経由の Non SD-WAN Destination の名前を入力し、タイプ(この場合は [汎用 IKEv2 ルーター (ルート ベース VPN) (Generic IKEv2 Router (Route Based VPN))])を選択し、[次へ (Next)] をクリックします。

  7. [詳細 (Advanced)] ボタンをクリックして、以下の詳細を指定します。
    1. 手順 2 で取得した VMC のパブリック IP アドレスを入力します。
    2. 暗号化が AES 128 に設定されていることを確認します。
    3. DH グループを 2 に変更します。
    4. PFS を 2 で有効にします。
    5. 認証アルゴリズムを SHA 1 に設定します。
    6. サブネットは BGP 経由で学習されます(BGP が設定されていない場合は、スタティック ルートなど、手順 3 で取得したサイト サブネットを追加します)。
    7. [変更の保存 (Save Changes)] をクリックします。

  8. 左側のパネルで、[設定 (Configure)] > [Edge (Edges)] の順にクリックします。

  9. NSD を関連付ける Edge のデバイス設定ページに移動します。
  10. Edge のデバイス設定で、次の手順を実行します。
    1. [クラウド VPN (Cloud VPN)] および [ブランチから Edge 経由の Non SD-WAN Destination (Branch to Non SD-WAN Destination via Edge)] で、[有効 (Enable)] の横にあるチェックボックスをオンにします。
    2. ドロップダウン メニューで、Edge 経由の NSD を選択します。

  11. [追加 (Add)] ボタンをクリックし、次のようにフィールドを更新します(次の図を参照)。
    1. NSD トンネルを形成する Edge WAN リンクを選択します。
    2. ローカル ID タイプには、[IP アドレス (IP address)] を選択します。
    3. ローカル ID には、WAN リンクのパブリック IP アドレスを指定します。
    4. PSK を入力します。
    5. 宛先プライマリ パブリック IP アドレスには、VMC Gateway のパブリック IP アドレスを指定します。

  12. 次の図に示すように、Edge の BGP 設定を有効にします。

  13. [編集 (Edit)] ボタンをクリックし、NSD ネイバーの BGP パラメータを更新します。
    1. 設定済みの NSD 名を選択します。
    2. NSD が関連付けられている Edge WAN リンクを指定します。
    3. ローカル ASN を 65001 に設定します。
    4. ネイバー IP アドレスを 169.254.32.2 に設定します。
    5. ピア ASN を 65000 に設定します(VMC のデフォルト ASN は 65000)。
    6. ローカル IP アドレスを 169.254.32.1 に設定します。注:169.254.0.0 ~ 169.254.31.255、169.254.101.0 ~ 169.254.101.3 の VMC 予約済みアドレスを除く、169.254.0.0/16 サブネットの /30 CIDR を使用することをお勧めします。

  14. BGP over IPSec を使用する SD-WAN Orchestrator でトンネルの準備が完了している必要があります。
  15. VMware Cloud コンソールにログインします。
  16. [ネットワークとセキュリティ (Networking and Security)] に移動し、[VPN] タブをクリックします。[VPN] 領域で、[ルート ベース VPN (Route Based VPN)] を選択し、[VPN の追加 (Add VPN)] をクリックします。

  17. ルート ベース VPN の名前を入力し、次のように設定します。
    1. 名前を選択します(「To_SDWAN_EDGE」で始まる名前を選択すると、トラブルシューティング中や今後のサポートで VPN を簡単に識別できます)。
    2. パブリック IP アドレスを選択します。
    3. リモートのパブリック IP アドレスを入力します(Edge WAN リンクのパブリック IP アドレス)。
    4. リモートのプライベート IP アドレスを入力します。これはセクション 11c のアドレスと同じにする必要があります。
    5. BGP ローカル IP アドレスを指定します。
    6. BGP リモート IP アドレスを指定します。
    7. [トンネル暗号化 (Tunnel Encryption)] で、[AES 128] を選択します。
    8. [トンネル ダイジェスト アルゴリズム (Tunnel Digest Algorithm)] で、[SHA 1] を選択します。
    9. [Perfect Forward Secrecy] が [有効 (Enabled)] に設定されていることを確認します。
    10. 手順 12d と一致するように、PSK を入力します。
    11. [IKE 暗号化 (IKE Encryption)] で、[AES 128] を選択します。
    12. [IKE ダイジェスト アルゴリズム (IKE Digest Algorithm)] で、[SHA 1] を選択します。
    13. [IKE タイプ (IKE Type)] で、[IKEv2] を選択します。
    14. [Diffie Hellman] で、[Group 2] を選択します。
    15. [保存 (Save)] をクリックします。

  18. 設定が完了すると、トンネルが自動的に有効になり、IKE フェーズ 1 とフェーズ 2 のパラメータがピア (SD-WAN Edge) との間でネゴシエートされます。

  19. トンネルが表示されたら(緑色)、SD-WAN Orchestrator で [監視 (Monitor)] > [ネットワーク サービス (Network Services)] の順に移動し、Edge 経由の NSD トンネル/BGP の状態を確認します。

  20. 各端末に接続されているクライアントから、もう一方のクライアントに ping を実行し、ping が通ることを確認します。トンネルの設定が完了し、接続できることが確認されました。