이 섹션에서는 VMware Cloud AWS 게이트웨이에 대해 게이트웨이를 통한 경로 기반 NSD를 구성하기 위한 간략한 개요 및 세부 절차를 제공합니다.

VMware Cloud AWS Gateway에 대한 게이트웨이를 통한 경로 기반 NSD 개요

아래 그림에서는 VMware SD-WAN 및 VMware Cloud on AWS의 통합을 보여 주며, VMware SD-WAN Gateway와 VMware Cloud Gateway 간에 IPSec 연결을 사용합니다.

절차

이 섹션에서는 SDWAN Gateway와 VMware Cloud 게이트웨이 간에 연결을 구현하는 방법에 대한 단계별 절차를 제공합니다.
  1. SDDC 조직의 URL을 기준으로 VMware Cloud Console에 로그인합니다(VMware Cloud Services 로그인 페이지). 클라우드 서비스 플랫폼에서 VMware Cloud on AWS를 선택합니다.
  2. 네트워킹 및 보안(Networking and Security) 탭을 클릭하여 VPN 연결에 사용되는 공용 IP를 찾습니다. VPN 공용 IP가 개요(Overview) 창 아래에 표시됩니다.

  3. 트래픽 암호화 선택(관심 있는 트래픽)에 대한 네트워크/서브넷을 확인하고 기록해 둡니다. 이러한 항목은 VMware Cloud에 있는 네트워킹/보안(Networking/Security)의 세그먼트(Segments)에서 시작되어야 합니다. (네트워크(Network)에서 세그먼트(Segments)를 클릭하여 찾습니다.)
  4. SD-WAN Orchestrator에 로그인하고 SD-WAN Edge가 표시되는지 확인합니다(녹색 상태 아이콘이 옆에 표시됨).

  5. 구성(Configure) 탭으로 이동하고 네트워크 서비스(Network Services)를 클릭합니다. 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destination via Gateway)에서 새로 만들기(New) 버튼을 클릭합니다.

  6. 게이트웨이를 통한 비 SD-WAN 대상의 이름을 제공합니다. 유형(이 경우 일반 IKEv2 라우터(경로 기반 VPN))을 선택하고 2단계에서 가져온 VMC의 공용 IP를 입력한 후 다음(Next)을 클릭합니다.

  7. 고급(Advanced) 버튼을 클릭하고 다음을 완료합니다.
    1. 원하는 PSK로 변경합니다.
    2. 암호화가 AES 128으로 설정되어 있는지 확인합니다.
    3. DH 그룹을 2로 변경합니다.
    4. PFS를 2로 설정합니다.
    5. 인증 알고리즘이 SHA 1로 설정되어 있는지 확인합니다.
    6. 서브넷이 BGP를 통해 학습되므로 사이트 서브넷을 비활성화합니다. (BGP가 구성되지 않은 경우 3단계에서 캡처된 사이트 서브넷(예: 고정 경로)을 추가합니다.)
    7. 터널 사용(Enable Tunnels) 옆에 있는 확인란을 클릭합니다.
    8. 변경 내용 저장(Save Changes)을 클릭합니다.

  8. IKE/IPSec 템플릿 보기(View IKE/IPSec Template)를 클릭하고 정보를 텍스트 파일에 복사한 다음, 창을 닫습니다.

  9. 왼쪽 창에서 구성(Configure) > 프로필(Profiles)을 클릭합니다.

  10. 연결된 SD-WAN Edge에 대한 프로필로 이동하고 해당 프로필을 클릭합니다.
  11. 올바른 프로필 아래에서 다음을 완료합니다.
    1. 디바이스(Device) 탭으로 이동하고 클라우드 VPN(Cloud VPN) 및 분기-게이트웨이를 통한 비 SD-WAN 대상(Branch to Non SD-WAN Destination via Gateway)에서 사용(Enable) 옆의 확인란을 클릭합니다.
    2. 드롭다운 메뉴에서 생성된 게이트웨이를 통한 NSD(NSD via Gateway)를 선택합니다(6단계부터 시작).
    3. 화면의 맨 위에 있는 변경 내용 저장(Save Changes) 버튼을 클릭합니다.

  12. 네트워크(Network) 서비스 페이지로 이동하고 게이트웨이를 통한 NSD(NSD via Gateway) 영역에서 BGP 버튼을 클릭합니다.

  13. 다음과 같은 BGP 매개 변수를 구성합니다.
    1. 로컬 ASN 65001 구성
    2. 인접 항목 IP 169.254.32.2 c) 피어 ASN 65000(VMC 기본 ASN은 65000임)
    3. 로컬 IP - 169.254.32.1
      참고: 다음 VMC 예약 주소 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3을 제외하고 169.254.0.0/16 서브넷의 /30 CIDR을 사용하는 것이 좋습니다.

    IPSec을 통한 BGP를 사용하여 SD-WAN Orchestrator에서 터널을 준비해야 합니다.
  14. VMware Cloud Console에 로그인합니다.
  15. 네트워킹 및 보안(Networking and Security)으로 이동하고 VPN 탭을 클릭합니다. VPN 영역에서 경로 기반 VPN(Route Based VPN)을 선택하고 VPN 추가(Add VPN)를 클릭합니다.

  16. 경로 기반 VPN의 이름을 제공하고 다음을 구성합니다.
    1. 이름을 선택합니다. ("To_SDWAN_Gateway"로 시작하는 이름을 선택하십시오. 문제 해결 및 향후 지원 중에 VPN을 쉽게 식별할 수 있습니다.)
    2. 공용 IP를 선택합니다.
    3. 원격 공용 IP를 입력합니다.
    4. 원격 개인 IP를 입력합니다. 참고: 이 작업을 수행하려면 GSS 지원에 대한 호출이 필요합니다. 다음 KB 문서를 참조하고 지원 서비스에 문의할 때 KB ID를 언급하십시오. https:// ikb.vmware.com/s/article/78196.
    5. BGP 로컬 IP를 지정합니다.
    6. BGP 원격 IP를 지정합니다.
    7. 터널 암호화(Tunnel Encryption)에서 AES 128을 선택합니다.
    8. 터널 다이제스트 알고리즘(Tunnel Digest Algorithm)에서 SHA1을 선택합니다.
    9. Perfect Forward Secrecy가 사용(Enabled)으로 설정되어 있는지 확인합니다.
    10. 7A 단계와 일치하도록 PSK를 입력합니다.
    11. IKE 암호화(IKE Encryption)에서 AES 128을 선택합니다.
    12. IKE 다이제스트 알고리즘(IKE Digest Algorithm)에서 SHA 1을 선택합니다.
    13. IKE 유형(IKE Type)에서 IKEv2를 선택합니다.
    14. Diffie-Hellman에서 그룹 2(Group 2)를 선택합니다.
    15. 저장(Save)을 클릭합니다.

  17. 구성이 완료되면 터널이 자동으로 활성화되고 IKE 단계 1, 2의 매개 변수를 SD-WAN Gateway에 해당하는 피어와 계속 협상합니다.

  18. 터널이 표시되면(녹색) SD-WAN Orchestrator에서 게이트웨이를 통한 NSD 터널/BGP 상태를 확인합니다(모니터링(Monitor) > 네트워크 서비스(Network Services)로 이동).

  19. 각 끝에 연결된 클라이언트에서 ping을 시작하여 반대쪽 클라이언트에서 ping을 수행하고 ping 연결 가능성을 확인합니다. 터널 구성이 완료되고 확인되었습니다.