Esta secção fornece uma breve visão geral e os procedimentos detalhados para configurar o NSD baseado em caminho via Edge para o gateway do VMware Cloud on AWS.

Visão geral do NSD baseado em caminho via Edge para o gateway do VMware Cloud on AWS

A figura abaixo ilustra a integração do VMware SD-WAN e do VMware Cloud on AWS, que utiliza a conectividade IPSec entre o VMware SD-WAN Edge e o gateway do VMware Cloud.

Procedimento

Esta secção fornece procedimentos passo a passo sobre como alcançar a conectividade entre um SDWAN Edge e um gateway do VMware Cloud.
  1. Inicie sessão na consola do VMware Cloud com base no URL da sua organização SDDC (a página de início de sessão dos VMware Cloud Services). Na plataforma de serviços na cloud, selecione VMware Cloud on AWS.
  2. Encontre o IP público utilizado para a conectividade da VPN clicando no separador Rede e segurança (Networking and Security). O IP público da VPN é apresentado abaixo do painel Visão geral (Overview).

  3. Determine as redes/sub-redes para a seleção de encriptação de tráfego (tráfego interessante) e anote-as. Estes devem ser originários de segmentos na rede/segurança na VMware Cloud. (Localize isto clicando em Segmentos (Segments), em Rede (Network)).
  4. Inicie sessão no SD-WAN Orchestrator e verifique se os SD-WAN Edges estão presentes com um ícone de estado verde apresentado ao lado.

  5. Aceda ao separador Configurar (Configure), clique em Serviços de rede (Network Services) e, em seguida, em Destino Não-SD-WAN via Edge, clique no botão Novo (New).

  6. Indique um nome para Destino Não-SD-WAN via Edge, selecione o tipo, neste caso, Router genérico IKEv2 (VPN baseada em caminho) (Generic IKEv2 Router(Route Based VPN)), e clique em Seguinte (Next).

  7. Clique no botão Avançado Advanced e indique os detalhes abaixo.
    1. Introduza o IP Público do VMC obtido no Passo 2.
    2. Certifique-se de que a encriptação está definida como AES 128.
    3. Mude o grupo DH para 2.
    4. Ative o PFS para 2.
    5. Algoritmo Auth definido como SHA 1.
    6. As sub-redes serão aprendidas via BGP (se o BGP não estiver configurado, adicione as sub-redes do site obtidas no passo 3, por exemplo, caminho estático).
    7. Clique em Guardar alterações (Save Changes).

  8. No painel esquerdo, clique em Configurar (Configure) > Edges.

  9. Aceda à página de definição do dispositivo do Edge em que o NSD será associado.
  10. Nas definições do dispositivo do Edge, proceda da seguinte forma.
    1. Em VPN de Cloud ( Cloud VPN) e Ramo a Destino Não-SD-WAN via Edge (Branch to Non SD-WAN Destination via Edge), clique na caixa de verificação junto a Ativar (Enable).
    2. No menu pendente, selecione NSD via Edge.

  11. Clique no botão Adicionar (Add) e atualize os seguintes campos abaixo (ver imagem abaixo).
    1. Selecione a ligação Edge WAN a partir do local onde o túnel NSD se forma.
    2. Tipo de ID local – endereço IP.
    3. O ID local será o IP público da ligação WAN.
    4. Introduza o PSK.
    5. IP público principal de destino – IP público de Gateway VMC.

  12. Ative as definições de BGP para um Edge, conforme ilustrado na imagem abaixo.

  13. Clique no botão Editar (Edit) e atualize os parâmetros de BGP para o vizinho de NSD.
    1. Selecione o nome NSD configurado.
    2. Ligação Edge WAN em que o NSD está associado.
    3. Configure o Local ASN 65001.
    4. IP vizinho – 169.254.32.2.
    5. ASN do par – 65000 (ASN predefinido VMC is 65000).
    6. IP local – 169.254.32.1 NOTA: recomenda-se a utilização de um CIDR /30 da sub-rede 169.254.0.0/16, excluindo os seguintes endereços VMC reservados – 169.254.0.0-169.254.31.255, 169.254.101.0-169.254.101.3

  14. O túnel deve estar pronto no SD-WAN Orchestrator com BGP através de IPSec.
  15. Inicie sessão na consola do VMware Cloud.
  16. Aceda a Rede e segurança (Networking and Security) e clique no separador VPN. Na área VPN, selecione VPN baseada em caminho (Route Based VPN) e clique em Adicionar VPN (Add VPN).

  17. Indique um nome para a VPN baseada em caminho e configure o seguinte:
    1. Escolha um nome. (Escolha um nome que comece por “To_SDWAN_EDGE”, para que a VPN possa ser facilmente identificada durante a resolução de problemas e suporte futuro).
    2. Selecione o IP público.
    3. Introduza o IP público remoto. (IP público da ligação do Edge WAN).
    4. Introduza o IP privado remoto – deve ser igual à secção 11c.
    5. Especifique o IP local BGP.
    6. Especifique o IP remoto BGP.
    7. Em Encriptação do túnel (Tunnel Encryption), selecione AES 128.
    8. Em Algoritmo de resumo do túnel (Tunnel Digest Algorithm), selecione SHA1.
    9. Certifique-se de que o Segredo de encaminhamento perfeito (Perfect Forward Secrecy) está definido como Ativado (Enabled).
    10. Introduza a PSK, para corresponder ao passo 12d.
    11. Em Encriptação IKE (IKE Encryption), selecione AES 128.
    12. Em Algoritmo de resumo de IKE (IKE Digest Algorithm), selecione SHA 1.
    13. Em Tipo de IKE (IKE Type), selecione IKEv2.
    14. Em Diffie Hellman, selecione Grupo 2.
    15. Clique em Guardar (Save).

  18. Uma vez concluída a configuração, o túnel é automaticamente ativado e procederá à negociação dos parâmetros da fase 1 e fase 2 de IKE com o par, que é o SD-WAN EDGE.

  19. Uma vez apresentado o túnel (verde), verifique o estado do BGP/túnel do NSD via Edge no SD-WAN Orchestrator (aceda a Monitor > Serviços de rede (Network Services)).

  20. Inicie um ping a partir de um cliente ligado em cada extremidade na direção do cliente oposto e verifique a acessibilidade do ping. A configuração do túnel foi concluída e verificada.