Os VMware SD-WAN Edges são normalmente implementados num VPC de trânsito no Amazon Web Services (AWS). O AWS introduziu o suporte para o AWS TGW (Transit Gateway) Connect Service para os dispositivos SD-WAN serem ligados ao Transit Gateway. O VMware SD-WAN Edge tem agora uma funcionalidade (suporte BGP através de GRE na LAN), que possibilita o suporte nos VMware SD-WAN Edges para utilizarem o AWS TGW Connect Service para conetividade ao AWS Transit Gateway.

Para o AWS TGW Connect Service, o Edge aprovisionado no VPC de trânsito tem de utilizar a interface LAN (routed, não-WAN) para configurar o túnel GRE. Assim, é utilizado efetivamente o IP privado configurado no ENI para configurar o túnel GRE para o Transit Gateway.

Procedimento de configuração do Amazon Web Services (AWS)

  1. No portal da AWS, aprovisione um AWS Transit Gateway numa região específica. Essa mesma região tem de ter o VPC de trânsito em que o VMware SD-WAN Edge é aprovisionado.
    Verifique se o bloco CIDR do Transit Gateway está configurado, conforme mostrado na imagem abaixo.
    Nota: Um IP desse bloco é utilizado para o ponto final GRE no AWS TGW. O ASN da Amazon é utilizado posteriormente na configuração BGP no VMware SD-WAN Edge.
  2. Crie um anexo de VPC para o VPC de trânsito especificando as sub-redes onde reside a interface LAN do Edge ou ENI.

    Após o anexo do VPC ser criado, verá Disponível (Available) na coluna Estado (State).

  3. Crie um anexo de ligação utilizando o anexo de VPC.

    Após o anexo de ligação ser criado, verá Disponível (Available) na coluna Estado (State).

  4. Crie um par de ligação, que se traduzirá num túnel GRE. Especifique os seguintes parâmetros: Endereço GRE do Transit Gateway (Transit Gateway GRE Address), Endereço GRE do par (Peer GRE Address), Bloco CIDR interior BGP (BGP Inside CIDR block) e ASN do par (Peer ASN).
    Nota: Os parâmetros Bloco CIDR interior BGP (BGP Inside CIDR block) e ASN do par (Peer ASN) têm de corresponder ao que está configurado no VMware SD-WAN Edge.
    No exemplo acima:
    • 172.43.0.24 é o endereço IP externo do GRE no AWS TGW, esse IP é alocado a partir do bloco CIDR do Transit Gateway.
    • 10.1.1.30 é o endereço IP externo do GRE no VMware SD-WAN Edge.
    • 169.254.31.0/29 é o Bloco CIDR interior. Os endereços deste bloco são utilizados para o vizinho BGP.
    • 169.254.31.1 é o endereço IP no VMware SD-WAN Edge.
    • 169.254.31.2 e 169.254.31.3 são os endereços utilizados para o BGP no AWS TGW.
    • 64512 é o ASN do BGP configurado no AWS TGW.
    • 65000 é o ASN do BGP configurado no VMware SD-WAN Edge.
    O mapa de recursos do VPC para o VPC de trânsito lista a sub-rede lateral de LAN com a tabela de caminhos, conforme mostrado na imagem abaixo.
  5. Na tabela de caminhos do VPC de trânsito, adicione um caminho para o bloco CIDR TGW com Alvo ou Próximo hop como anexo de VPC.
    Nota: Por exemplo, 172.43.0.0/24 é o bloco AWS TGW CIDR.
  6. Na mesma tabela de caminhos, verifique se a sub-rede ENI da LAN tem uma associação explícita de sub-rede.

Procedimento de configuração do VMware SASE Orchestrator

  1. No VMware SASE Orchestrator, aceda a Serviços de rede (Network Services) > Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge) e configure o túnel GRE com o AWS Transit Gateway Connect.
    Nota: Ao configurar o túnel GRE com o AWS Transit Gateway Connect Service, lembre-se das seguintes notas importantes:
    • O único parâmetro de modo de túnel que pode ser configurado é Ativo/Ativo.
    • Não existem mecanismos Keep-alive para o túnel GRE com o AWS Transit Gateway Service.
    • O BGP estará configurado por predefinição para os túneis GRE. Os BGP Keep-alive são utilizados para o estado de vizinho BGP.
    • O Edge não suporta ECMP em múltiplos túneis. Por isso, apenas um túnel GRE será utilizado para o tráfego de saída.
  2. Em Perfil (Profile), ative CloudVPN, ative Destino Não-SD-WAN via Edge e escolha NSD.
  3. Na configuração do Edge, nos Destinos Não-SD-WAN via Edge, selecione o NSD configurado.
  4. Para o NSD específico, configure os parâmetros do túnel GRE selecionando o sinal +. Configure o seguinte:
    • Origem do túnel como interface LAN
    • IP de origem do túnel como o endereço IP configurado na interface LAN, se especificado dinamicamente, utilize Diagnóstico Remoto (Remote Diagnostics) > Estatísticas da interface (Interface Stats) para obter o endereço IP
    • ASN do TGW
    • Os parâmetros do túnel principal podem ser configurados indicando o IP de destino, o endereço IP indicado no Par TGW Connect
    • A rede/máscara interna tem de ser a mesma especificada na configuração do Par TGW Connect interior.
    • Os parâmetros do túnel secundário podem ser configurados para o IP de destino e a rede/máscara interior.
    Nota: O BGP estará ativado por predefinição para essa funcionalidade. O campo ASN local será pré-preenchido.

    A configuração Não-SD-WAN via Edge (Non SD-WAN via Edge) é apresentada, conforme mostrado na imagem.

  5. A configuração acima criará automaticamente a configuração BGP para os vizinhos. Cada configuração de túnel GRE para o AWS Transit Gateway será criada automaticamente para dois vizinhos BGP com informações sobre o nome da ligação, IP de vizinho, tipo de túnel e ASN.
    Em Opções adicionais (Additional Options), o eBGP Max Hop é configurado como 2, pois este é um requisito para o TGW Connect Service. Os parâmetros adicionais que são preenchidos são Keep-alive e Hold Timer com base na recomendação fornecida pelo AWS. O IP local de BGP também é pré-preenchido. Estes parâmetros não podem ser modificados.
    Nota:
    • Dois vizinhos BGP de NSD serão adicionados automaticamente.
    • O campo Opções adicionais (Additional Options) será modificado para os valores Max-Hop, IP local, Keep Alive e Hold Timer.
  6. Para o ponto final do túnel GRE, configure um caminho estático no VMware SD-WAN Edge que especifique o Próximo hop, para especificar o gateway predefinido de sub-rede e a interface como a interface LAN.