이 섹션에서는 SD-WAN Gateway와 VMware Cloud 게이트웨이 간에 연결을 구현하는 방법에 대한 단계별 절차를 제공합니다.

개요

아래 그림에서는 VMware SD-WAN 및 VMware Cloud on AWS의 통합을 보여 줍니다. 여기서는 VMware SD-WAN 게이트웨이와 VMware Cloud 라우터 간에 IPSec 연결을 사용합니다.

절차

  1. SDDC 조직의 URL을 기준으로 VMware Cloud Console에 로그인합니다(VMware Cloud Services 로그인 페이지).

    클라우드 서비스 플랫폼에서 VMware Cloud on AWS를 선택합니다.

  2. 네트워킹 및 보안(Networking and Security) 탭을 클릭하여 VPN 연결에 사용되는 공용 IP를 찾습니다. VPN 공용 IP가 개요(Overview) 창 아래에 표시됩니다.

  3. 트래픽 암호화 선택(관심 있는 트래픽)에 대한 네트워크/서브넷을 확인하고 적어 둡니다. 이러한 항목은 VMware Cloud에 있는 네트워킹/보안(Networking/Security)의 세그먼트(Segments)에서 시작되어야 합니다. (네트워크(Network)에서 세그먼트(Segments)를 클릭하여 찾습니다.)
  4. SD-WAN Orchestrator에 로그인하고 옆에 녹색 상태 아이콘이 있는 SD-WAN Edges가 표시됩니다.

  5. 구성(Configure) 탭으로 이동하고 네트워크 서비스(Network Services)를 클릭한 다음, 비 VeloCloud 사이트(Non-VeloCloud Sites)에서 새로 만들기(New) 버튼을 클릭합니다.

  6. 비 VeloCloud 사이트의 이름을 제공하고, 유형으로 일반 방화벽(정책 기반 VPN)을 선택한 후 2단계에서 가져온 VMC에서 공용 IP를 입력하고 다음(Next)을 클릭합니다.

  7. 고급(Advanced) 버튼을 클릭하고 기본 VPN 게이트웨이 아래에서 다음을 수행합니다.
    1. 원하는 PSK로 변경합니다.
    2. 암호화가 AES 256으로 설정되어 있는지 확인합니다.
    3. DH 그룹을 5로 변경합니다.
    4. PFS를 5로 설정합니다.
    5. 3단계에서 캡처된 사이트 서브넷을 입력합니다.
    6. 터널 사용(Enable Tunnels) 확인란을 클릭합니다.
    7. 변경 내용 저장(Save Changes)을 클릭합니다.

  8. IKE/IPSec 템플릿 보기(View IKE/IPSec Template)를 클릭하고 정보를 텍스트 파일에 복사한 다음, 창을 닫습니다.

  9. 왼쪽 창에서 구성(Configure) > 프로필(Profiles)을 클릭합니다.

  10. 연결된 SD-WAN Edge에 대한 프로필로 이동하고 해당 프로필을 클릭합니다.
  11. 올바른 프로필 아래에서 다음을 수행합니다.
    1. 디바이스(Device) 탭으로 이동하고 클라우드 VPN(Cloud VPN)분기-비 VeloCloud 사이트(Branch to Non-VeloCloud Site)에서 사용(Enable) 옆의 확인란을 클릭합니다.
    2. 드롭다운 메뉴에서 생성된 NVS 네트워크 서비스(5단계부터 시작)를 선택합니다.
    3. 화면의 맨 위에 있는 변경 내용 저장(Save Changes) 버튼을 클릭합니다.

  12. 터널은 SD-WAN Orchestrator에 준비되어 있어야 합니다.
  13. VMware Cloud Console에 로그인합니다.
  14. 네트워킹 및 보안(Networking and Security)으로 이동하고 VPN 탭을 클릭합니다. VPN 영역에서 정책 기반 VPN(Policy Based VPN)을 선택하고 VPN 추가(Add VPN)를 클릭합니다.

  15. 정책 기반 VPN의 이름을 제공하고 다음을 구성합니다.
    1. 이름을 선택합니다. ("To_SDWAN_Gateway"로 시작하는 이름을 선택하십시오. 문제 해결 및 향후 지원 중에 VPN을 쉽게 식별할 수 있습니다.)
    2. 공용 IP를 선택합니다.
    3. 원격 공용 IP를 입력합니다.
    4. 원격 개인 IP를 입력합니다. 참고: 이 작업을 수행하려면 GSS 지원에 대한 호출이 필요합니다. 다음 KB 문서를 참조하고 지원 서비스에 문의할 때 KB ID를 언급하십시오. https://ikb.vmware.com/s/article/78196.
    5. SD-WAN Orchestrator에 있는 원격 네트워크를 지정합니다.
    6. 로컬 네트워크를 선택합니다.
    7. 터널 암호화(Tunnel Encryption)에서 AES 256을 선택합니다.
    8. 터널 다이제스트 알고리즘(Tunnel Digest Algorithm)에서 SHA1을 선택합니다.
    9. Perfect Forward Secrecy사용(Enabled)으로 설정되어 있는지 확인합니다.
    10. 7A 단계와 일치하도록 PSK를 입력합니다.
    11. IKE 암호화(IKE Encryption)에서 AES 256을 선택합니다.
    12. IKE 다이제스트 알고리즘(IKE Digest Algorithm)에서 SHA 1을 선택합니다.
    13. IKE 유형(IKE Type)에서 IKEv2를 선택합니다.
    14. Diffie-Hellman에서 그룹 5(Group 5)를 선택합니다.
    15. 저장(Save)을 클릭합니다.

  16. 구성이 완료되면 터널이 자동으로 활성화되고 IKE 단계 1과 2의 매개 변수를 SD-WAN Gateway에 해당하는 피어와 계속 협상합니다.

  17. 터널이 표시되면(녹색) SD-WAN Orchestrator에 녹색이 표시되는지 확인합니다(모니터링(Monitor) > 네트워크 서비스(Network Services)로 이동).

  18. 각 끝에 연결된 클라이언트에서 ping을 시작하여 반대쪽 클라이언트에서 ping을 수행하고 ping 연결 가능성을 확인합니다.

    터널 구성이 완료되고 확인되었습니다.