이 섹션에서는 VMware Cloud AWS 게이트웨이에 대해 Edge를 통한 경로 기반 NSD를 구성하기 위한 간략한 개요 및 세부 절차를 제공합니다.

VMware Cloud AWS 게이트웨이에 대한 Edge를 통한 경로 기반 NSD 개요

아래 그림에서는 VMware SD-WAN 및 VMware Cloud on AWS의 통합을 보여 주며, VMware SD-WAN Edge와 VMware Cloud Gateway 간에 IPSec 연결을 사용합니다.

절차

이 섹션에서는 SDWAN Edge와 VMware Cloud 게이트웨이 간에 연결을 구현하는 방법에 대한 단계별 절차를 제공합니다.
  1. SDDC 조직의 URL을 기준으로 VMware Cloud Console에 로그인합니다(VMware Cloud Services 로그인 페이지). 클라우드 서비스 플랫폼에서 VMware Cloud on AWS를 선택합니다.
  2. 네트워킹 및 보안(Networking and Security) 탭을 클릭하여 VPN 연결에 사용되는 공용 IP를 찾습니다. VPN 공용 IP가 개요(Overview) 창 아래에 표시됩니다.

  3. 트래픽 암호화 선택(관심 있는 트래픽)에 대한 네트워크/서브넷을 확인하고 적어 둡니다. 이러한 항목은 VMware Cloud에 있는 네트워킹/보안(Networking/Security)의 세그먼트(Segments)에서 시작되어야 합니다. (네트워크(Network) 아래에 세그먼트(Segments)를 클릭하여 찾습니다.)
  4. SD-WAN Orchestrator에 로그인하고 SD-WAN Edge가 표시되는지 확인합니다(녹색 상태 아이콘이 옆에 표시됨).

  5. 구성(Configure) 탭으로 이동하고 네트워크 서비스(Network Services)를 클릭한 다음, Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destination via Edge)에서 새로 만들기(New) 버튼을 클릭합니다.

  6. Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destination via Edge)의 이름을 제공하고 유형(이 경우 일반 IKEv2 라우터(경로 기반 VPN))을 선택한 후 다음(Next)을 클릭합니다.

  7. 고급(Advanced) 버튼을 클릭하고 아래 세부 정보를 제공합니다.
    1. 2단계에서 얻은 VMC의 공용 IP를 입력합니다.
    2. 암호화가 AES 128으로 설정되어 있는지 확인합니다.
    3. DH 그룹을 2로 변경합니다.
    4. PFS를 2로 설정합니다.
    5. 인증 알고리즘이 SHA 1로 설정되어 있는지 확인합니다.
    6. 서브넷은 BGP를 통해 학습됩니다(BGP가 구성되지 않은 경우 3단계에서 캡처한 사이트 서브넷(예: 고정 경로) 추가).
    7. 변경 내용 저장(Save Changes)을 클릭합니다.

  8. 왼쪽 창에서 구성(Configure) > Edge(Edges)를 클릭합니다.

  9. NSD가 연결될 Edge의 디바이스 설정 페이지로 이동합니다.
  10. Edge의 디바이스 설정에서 다음을 완료합니다.
    1. 클라우드 VPN(Cloud VPN) 및 분기-Edge를 통한 비 SD-WAN 대상(Branch to Non SD-WAN Destination via Edge)에서 사용(Enable) 옆에 있는 확인란을 클릭합니다.
    2. 드롭다운 메뉴에서 Edge를 통한 NSD(NSD via Edge)를 선택합니다.

  11. 추가(Add) 버튼을 클릭하고 아래 필드를 업데이트합니다(아래 이미지 참조).
    1. NSD 터널이 형성될 Edge WAN 링크를 선택합니다.
    2. 로컬 ID 유형 - IP 주소.
    3. 로컬 ID는 WAN 링크의 공용 IP가 됩니다.
    4. PSK를 입력합니다.
    5. 대상 기본 공용 IP - VMC 게이트웨이 공용 IP.

  12. 아래 이미지에 표시된 대로 Edge에 대한 BGP 설정을 활성화합니다.

  13. 편집(Edit) 버튼을 클릭하고 NSD 인접 항목에 대한 BGP 매개 변수를 업데이트합니다.
    1. 구성된 NSD 이름을 선택합니다.
    2. NSD가 연결된 Edge WAN 링크
    3. 로컬 ASN 65001을 구성합니다.
    4. 인접 항목 IP – 169.254.32.2.
    5. 피어 ASN 65000(VMC 기본 ASN은 65000임).
    6. 로컬 IP – 169.254.32.1 참고: 다음 VMC 예약 주소 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3을 제외하고 169.254.0.0/16 서브넷의 /30 CIDR을 사용하는 것이 좋습니다.

  14. IPSec을 통한 BGP를 사용하여 SD-WAN Orchestrator에서 터널을 준비해야 합니다.
  15. VMware Cloud Console에 로그인합니다.
  16. 네트워킹 및 보안(Networking and Security)으로 이동하고 VPN 탭을 클릭합니다. VPN 영역에서 경로 기반 VPN(Route Based VPN)을 선택하고 VPN 추가(Add VPN)를 클릭합니다.

  17. 경로 기반 VPN의 이름을 제공하고 다음을 구성합니다.
    1. 이름을 선택합니다. ("To_SDWAN_EDGE"로 시작하는 이름을 선택하십시오. 문제 해결 및 향후 지원 중에 VPN을 쉽게 식별할 수 있습니다.)
    2. 공용 IP를 선택합니다.
    3. 원격 공용 IP를 입력합니다. (Edge WAN 링크 공용 IP).
    4. 원격 개인 IP를 입력합니다. 섹션 11c와 동일해야 합니다.
    5. BGP 로컬 IP를 지정합니다.
    6. BGP 원격 IP를 지정합니다.
    7. 터널 암호화(Tunnel Encryption)에서 AES 128을 선택합니다.
    8. 터널 다이제스트 알고리즘(Tunnel Digest Algorithm)에서 SHA1을 선택합니다.
    9. Perfect Forward Secrecy가 사용(Enabled)으로 설정되어 있는지 확인합니다.
    10. 12d 단계와 일치하도록 PSK를 입력합니다.
    11. IKE 암호화(IKE Encryption)에서 AES 128을 선택합니다.
    12. IKE 다이제스트 알고리즘(IKE Digest Algorithm)에서 SHA 1을 선택합니다.
    13. IKE 유형(IKE Type)에서 IKEv2를 선택합니다.
    14. Diffie-Hellman에서 그룹 2(Group 2)를 선택합니다.
    15. 저장(Save)을 클릭합니다.

  18. 구성이 완료되면 터널이 자동으로 활성화되고 IKE 단계 1, 2의 매개 변수를 SD-WAN EDGE에 해당하는 피어와 계속 협상합니다.

  19. 터널이 표시되면(녹색) SD-WAN Orchestrator에서 Edge를 통한 NSD 터널/BGP 상태를 확인합니다(모니터링(Monitor) > 네트워크 서비스(Network Services)로 이동).

  20. 각 끝에 연결된 클라이언트에서 ping을 시작하여 반대쪽 클라이언트에서 ping을 수행하고 ping 연결 가능성을 확인합니다. 터널 구성이 완료되고 확인되었습니다.