Esta secção fornece uma breve visão geral e os procedimentos detalhados para configurar o NSD baseado em caminho via Gateway para o gateway do VMware Cloud on AWS.

Visão geral do NSD baseado em caminho via Gateway para o gateway do VMware Cloud on AWS

A figura abaixo ilustra a integração do VMware SD-WAN e do VMware Cloud on AWS, que utiliza a conectividade IPSec entre o VMware SD-WAN Gateway e o gateway do VMware Cloud.

Procedimento

Esta secção fornece procedimentos passo a passo sobre como alcançar a conectividade entre um SDWAN Gateway e um gateway do VMware Cloud.
  1. Inicie sessão na consola do VMware Cloud com base no URL da sua organização SDDC (a página de início de sessão dos VMware Cloud Services). Na plataforma de serviços na cloud, selecione VMware Cloud on AWS.
  2. Encontre o IP público utilizado para a conectividade da VPN clicando no separador Rede e segurança (Networking and Security). O IP público da VPN é apresentado abaixo do painel Visão geral (Overview).

  3. Determine as redes/sub-redes para a seleção de encriptação de tráfego (tráfego interessante) e anote-as. Estes devem ser originários de segmentos na rede/segurança na VMware Cloud. (Localize isto clicando em Segmentos (Segments), em Rede (Network)).
  4. Inicie sessão no SD-WAN Orchestrator e verifique se os SD-WAN Edges são apresentados (com um ícone de estado verde apresentado ao lado).

  5. Aceda ao separador Configurar (Configure) e clique em Serviços de rede (Network Services). Em Destino Não-SD-WAN via Gateway (Non SD-WAN Destination via Gateway), clique no botão Novo (New).

  6. Indique um nome para Destino Não-SD-WAN via Gateway (Non SD-WAN Destination). Selecione o tipo. Neste caso, Router genérico IKEv2 (VPN baseada em caminho) (Generic IKEv2 Router (Route Based VPN)), introduza o IP público no VMC obtido no Passo 2 e clique em Seguinte (Next).

  7. Clique no botão Avançado (Advanced ) e proceda da seguinte forma:
    1. Mude para a PSK desejada.
    2. Certifique-se de que a encriptação está definida como AES 128.
    3. Mude o grupo DH para 2.
    4. Ative o PFS para 2.
    5. Algoritmo Auth definido como SHA 1.
    6. Desative a sub-rede do local, uma vez que as sub-redes são aprendidas via BGP. (Se o BGP não estiver configurado, adicione as sub-redes do site obtidas no passo 3, como caminho estático).
    7. Clique na caixa de verificação junto a Ativar túneis (Enable Tunnels).
    8. Clique em Guardar alterações (Save Changes).

  8. Clique em Ver modelo IKE/IPSec (View IKE/IPSec Template) e copie a informação para um ficheiro de texto e, em seguida, feche a janela.

  9. No painel esquerdo, clique em Configurar > Perfis (Configure > Profiles).

  10. Aceda ao perfil do SD-WAN Edge associado e clique no perfil apropriado.
  11. No perfil correto, proceda da seguinte forma.
    1. Aceda ao separador Dispositivo (Device), em VPN de Cloud (Cloud VPN) e Ramo a Destino Não-SD-WAN via Gateway (Branch to Non SD-WAN Destination via Gateway), e clique na caixa de verificação junto a Ativar (Enable).
    2. No menu pendente, selecione o NSD via Gateway que foi criado (a começar no passo 6).
    3. Clique no botão Guardar alterações (Save Changes) na parte superior do ecrã.

  12. Aceda à página Serviço de rede (Network service) e clique no botão BGP na área do serviço NSD via Gateway.

  13. Configure os parâmetros BGP:
    1. Configure o ASN local 65001
    2. IP vizinho – 169.254.32.2 c) ASN do par (Peer ASN) – 65000 (o ASN predefinido do VMC é 65000)
    3. IP local – 169.254.32.1
      Nota: Recomenda-se a utilização de um CIDR /30 da sub-rede 169.254.0.0/16, excluindo os seguintes endereços VMC reservados – 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

    O túnel deve estar pronto no SD-WAN Orchestrator com BGP através de IPSec.
  14. Inicie sessão na consola do VMware Cloud.
  15. Aceda a Rede e segurança (Networking and Security) e clique no separador VPN. Na área VPN, selecione VPN baseada em caminho (Route Based VPN) e clique em Adicionar VPN (Add VPN).

  16. Indique um nome para a VPN baseada em caminho e configure o seguinte:
    1. Escolha um nome. (Escolha um nome que comece por “To_SDWAN_Gateway”, para que a VPN possa ser facilmente identificada durante a resolução de problemas e suporte futuro).
    2. Selecione o IP Público.
    3. Introduza o IP público remoto.
    4. Introduza o IP privado remoto. NOTA: isto vai requer uma chamada para o suporte GSS. Consulte o seguinte artigo BDC e mencione o ID da BDC ao contactar o suporte. https:// ikb.vmware.com/s/article/78196.
    5. Especifique o IP local BGP.
    6. Especifique o IP remoto BGP.
    7. Em Encriptação do túnel (Tunnel Encryption), selecione AES 128.
    8. Em Algoritmo de resumo do túnel (Tunnel Digest Algorithm), selecione SHA1.
    9. Certifique-se de que o Segredo de encaminhamento perfeito (Perfect Forward Secrecy) está definido como Ativado (Enabled).
    10. Introduza a PSK, para corresponder ao passo 7A.
    11. Em Encriptação IKE (IKE Encryption), selecione AES 128.
    12. Em Algoritmo de resumo de IKE (IKE Digest Algorithm), selecione SHA 1.
    13. Em Tipo de IKE (IKE Type), selecione IKEv2.
    14. Em Diffie Hellman, selecione Grupo 2.
    15. Clique em Guardar (Save).

  17. Uma vez concluída a configuração, o túnel é automaticamente ativado e procederá à negociação dos parâmetros da fase 1 e fase 2 do IKE com o par, que é o SD-WAN Gateway.

  18. Uma vez apresentado o túnel (verde), verifique o estado do BGP/túnel do NSD via Gateway no SD-WAN Orchestrator (aceda a Monitor > Serviços de rede (Network Services)).

  19. Inicie um ping a partir de um cliente ligado em cada extremidade na direção do cliente oposto e verifique a acessibilidade do ping. A configuração do túnel foi concluída e verificada.