本節說明安裝後和安裝驗證步驟。
如果安裝時如預期般正常運作,則您現在可以登入虛擬機器。
- 如果一切正常運作,則您在主控台應該會看到登入提示。您應該會看到 cloud-init 中指定的提示名稱。
- 您也可以參閱 /run/cloud-init/result.json。如果看到下列訊息,表示 cloud init 成功執行。
- 確認已向 SASE Orchestrator 登錄閘道。
- 確認外部連線。
- 確認「管理 VRF」正在回應 ARP。
- 選用:停用 cloud-init,使其不會在每次開機時執行。
備註: 如果您已在具有 vAPP 內容的 VMware vSphere 上部署 OVA,則必須在升級至 4.0.1 或 4.1.0 版之前停用 cloud-init。這是為了確保在升級期間不會遺失自訂設定,例如網路組態或密碼。
touch /etc/cloud/cloud-init.disabled
- 將新的閘道集區與客戶建立關聯。
- 將閘道與 Edge 建立關聯。如需詳細資訊,請參閱《VMware SD-WAN 管理指南》中的〈指派合作夥伴閘道遞交〉一節。
- 確認 Edge 能夠對網際網路端上的閘道建立通道。從 SASE Orchestrator 中,移至 。
從 SASE Orchestrator,移至 ,然後按一下執行 (Run),以檢視作用中路徑清單。
- 設定遞交介面。請參閱設定合作夥伴遞交。
- 確認 BGP 工作階段已啟動。
- 變更網路組態。
網路組態檔位於 /etc/netplan 下。
網路設定組態 (空白非常重要!)- /etc/netplan/50-cloud-init.yaml:network: version: 2 ethernets: eth0: addresses: - 192.168.151.253/24 gateway4: 192.168.151.1 nameservers: addresses: - 8.8.8.8 - 8.8.4.4 search: [] routes: - to: 192.168.0.0/16 via: 192.168.151.254 metric: 100 eth1: addresses: - 192.168.152.251/24 gateway4: 192.168.152.1 nameservers: addresses: - 8.8.8.8 search: []
echo 'network: {config: disabled}' > /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
在資料平面中設定遞交介面
VMware SD-WAN 閘道網路組態
在下圖的範例 (VRF/VLAN 遞交至 PE) 中,我們假設 eth0 是面向公用網路 (網際網路) 的介面,eth1 是面向內部網路 (透過 Pe 的客戶 VRF) 的介面。BGP 對等組態在 VCO 上會依每個客戶/VRF,在 [設定 (Configure) > 客戶 (Customer)] 下進行管理。請注意,每個 VRF 的 IP 位址均可依客戶來個別設定。管理 VRF 的 IP 位址會繼承在 Linux 中的 SD-WAN 閘道介面上所設定的 IP 位址。
管理 VRF 建立於 SD-WAN 閘道上,用來傳送定期 ARP 重新整理給預設閘道 IP,以決定下一個躍點 MAC。為此,建議在 PE 路由器上設定專用的 VRF。PE 路由器也可以使用相同的管理 VRF,來傳送 IP SLA 探查給 SD-WAN 閘道,以檢查 SD-WAN 閘道狀態 (SD-WAN 閘道具有一個可設定狀態的 ICMP 回應程式,該回應程式僅在其服務已啟動時,才會執行 Ping 偵測)。管理 VRF 上不需要 BGP 對等。如果未設定管理 VRF,您可以使用其中一個客戶 VRF 作為管理 VRF,但不建議這樣做。
"vcmp.interfaces":[ "eth0" ], (..snip..) "wan": [ "eth1" ],
步驟 2:設定管理 VRF。此 VRF 供 SD-WAN 閘道用於下一個躍點 MAC (PE 路由器) 的 ARP。SD-WAN 閘道所建立的所有 VRF 將使用相同的下一個躍點 MAC。您需要在 /etc/config/gatewayd 中設定管理 VRF 參數。
管理 VRF 即為 PE 路由器用來傳送 IP SLA 探查的相同 VRF。只有在服務已啟動,且有 Edge 與其連線時,SD-WAN 閘道才會回應 ICMP 探查。下表說明需要定義的每一個參數。此範例在 802.1q VLAN 識別碼 1000 上具有管理 VRF。
模式 | QinQ (0x8100)、QinQ (0x9100)、無、802.1Q、802.1ad |
c_tag | 用於 QinQ 封裝的 C 標籤值,或用於 802.1Q 封裝的 802.1Q VLAN 識別碼 |
s_tag | 用於 QinQ 封裝的 S 標籤值 |
介面 | 遞交介面,通常為 eth1 |
"vrf_vlan": { "tag_info": [ { "resp_mode": 0, "proxy_arp": 0, "c_tag": 1000, "mode": "802.1Q", "interface": "eth1", "s_tag": 0 } ] },
步驟 3:編輯 /etc/config/gatewayd-tunnel,以在 wan 參數中包含這兩個介面。儲存變更。
wan="eth0 eth1"
移除已封鎖的子網路
依預設,SD-WAN 閘道會封鎖流向 10.0.0.0/8 和 172.16.0.0/14 的流量。在使用此 SD-WAN 閘道之前,我們需要先移除這些子網路,因為我們希望 SD-WAN 閘道也會將流量傳送至私人子網路。如果您沒有編輯此檔案,當您嘗試將流量傳送至已封鎖的子網路時,您將在 /var/log/gwd.log 中看到以下訊息
2015-12-18T12:49:55.639 ERR [NET] proto_ip_recv_handler:494 Dropping packet destined for 10.10.150.254, which is a blocked subnet. 2015-12-18T12:52:27.764 ERR [NET] proto_ip_recv_handler:494 Dropping packet destined for 10.10.150.254, which is a blocked subnet. [message repeated 48 times] 2015-12-18T12:52:27.764 ERR [NET] proto_ip_recv_handler:494 Dropping packet destined for 10.10.150.10, which is a blocked subnet.
[ { "network_addr": "10.0.0.0", "subnet_mask": "255.0.0.0" }, { "network_addr": "172.16.0.0", "subnet_mask": "255.255.0.0" } ]
[ ]
步驟 3:使用 sudo /opt/vc/bin/vc_procmon restart 來重新啟動 SD-WAN 閘道程序。