AWS 已宣佈在 Cloud WAN 上推出了 Tunnel-less Connect。本文件說明 AWS 元件,以及如何為 AWS 和 VMware SD-WAN 設定這些元件。

新的 AWS CloudWAN CNE Connect 使用無通道 BGP 功能,讓您使用 AWS 骨幹輕鬆建置一個全域 SD-WAN 網路作為「中程」傳輸網路。透過此功能,VMware SD-WAN 應用裝置可以使用 BGP (邊界閘道通訊協定) 以原生方式與 AWS Cloud WAN 對等互連,而無需使用通道通訊協定 (例如 IPSec 或 GRE)。這簡化了將客戶的 SD-WAN 整合到 AWS 雲端的過程,並允許客戶利用高頻寬 AWS 骨幹,在不同地理區域之間建立分支到分支的連線。此功能還支援內建網路分割,從而使客戶能夠在全球範圍建置安全的 SD-WAN。

VMware SD-WAN 虛擬 Edge (vEdge) 通常部署在 AWS 所謂的「傳輸」VPC 中。之後,此傳輸 VPC 可能會與其他 VPC、TGW 對等互連,或者,在這種情況下,與 Cloud WAN 骨幹中的 CNE (雲端網路 Edge) 對等互連,從而能與客戶已部署到 AWS 中的資源連線。

對於 Cloud WAN CNE Connect,在傳輸 VPC 中佈建的 vEdge 將使用面向 LAN (路由,非 WAN) 的介面,與 CNE 建立原生 L3 (亦即未封裝) BGP 對等連線。

AWS 元件

AWS 需要 6 個主要元件:
  • Cloud WAN 核心網路
  • 原則定義
  • 核心網路 Edge (CNE)
  • 傳輸 VPC
  • VPC 連結
  • 連線連結

這會假設客戶在其他 AWS VPC 中已有其他資源,且這些資源使用 VPC 對等來互連到核心網路中的 CNE。若非如此,則必須定義核心網路和 CNE,並建立連結以連線至客戶現有的工作負載 VPC。

AWS 組態

  1. 使用以下 VMware 線上說明文件,在 AWS VPC 中建立 vEdge:
    1. 虛擬 Edge 部署指南
    2. VMware SD-WAN AWS CloudFormation 範本 - 綠地
    3. VMware SD-WAN AWS CloudFormation 範本 - 棕地
  2. 在 AWS 主控台上,如果客戶的 AWS 部署中尚不存在全域網路,則必須使用 AWS Network Manager 建立一個全域網路。
  3. 建立原則版本。
    1. 原則版本是定義及設定解決方案重要詳細資料的所在,如下圖所示。
    2. 輸入 CNE 使用的 BGP ASN 範圍。
    3. 在全域 [內部 CIDR 區塊 (Inside CIDR blocks)] 中,CNE 將定義個別的內部 CIDR 區塊。在適當的文字方塊中輸入 CIDR,如下圖所示。
    4. 在適當的文字方塊中搜尋 Edge 位置 (Edge locations),如下圖所示。CNE 位置會定義特定 AWS AZ,以便將其中的 CNE 具現化。
      備註: 會在上述為全域網路定義的範圍內,定義每個 Edge 位置的 ASN 和內部 CIDR 區塊。
    5. 在適當的文字方塊中搜尋區段 (Segments),如下圖所示。邏輯區段是使用標籤來定義。可以標記 VPC 和子網路,以定義它們所屬的區段。在此範例中,格式為:索引鍵 =「區段」,值 =「SDWAN」,不過,值可以是任意值。
      備註: 使用的任何值都必須與原則中定義的值相符。
    6. 連結原則指定 VCP 和連線連結所屬的區段,以及所使用的準則。在適當的文字方塊中搜尋連結原則 (Attachment Policies),如下圖所示。在下列範例中,[標籤/值 (tag-value)] 條件是定義上述所定義的 [SDWAN] 區段中的成員資格。[條件值 (Condition Values)] 是索引鍵/值配對,亦如上述所定義。此索引鍵/值配對必須存在於 VPC 及/或子網路中,它們才能成為「區段」的成員。
      備註: 這可以說是整個組態中最不直覺、最容易出錯的部分。如果您沒有看到來自遠端工作負載 VPC 的路由,請檢查此處。也可以進行其他組態和設定其他條件,但這是在實驗室測試中可行的組態和條件。
  4. CNE 連結:使用了兩種類型的連結:[VPC 連結 (VPC Attachment)] 和 [連線連結 (Connect Attachment)]。
    1. VPC 連結:每個 SD-WAN 傳輸 VPC 都將具有一個到其個別 CNE 的 VPC 連結。建立 VPC 連結時,必須在 VPC 中至少指定一個子網路。在此範例中,us-west-1 AZ 中的 CNE 與 SD-WAN 傳輸 VPC 的私人 LAN 子網路對等互連。此外,還需要定義區段成員資格的索引鍵/值配對。

      如果已正確設定原則,連結應顯示該原則已成為 [SDWAN] 區段的一部分。將顯示正在使用的連結原則規則號碼,如下圖所示。

    2. 連線連結是設定 [無通道 (無封裝) (Tunnel-less (No Encapsulation))] 的位置。由於連線連結組態必須將現有 VPC 連結指定為傳輸連結識別碼,因此必須先設定 VPC 連結。與 VPC 連結一樣,必須設定區段成員資格的標籤。

      如果已正確設定原則,連結應顯示該原則已成為 [SDWAN] 區段的一部分。請注意,將顯示正在使用的連結原則規則號碼,對於連線通訊協定,將顯示「NO_ENCAP」。請參閱下圖。

  5. 連線對等:在連線連結下,建立連線對等。這是根據 ASN 和對等 IP 位址定義 SD-WAN vEdge BGP 對等的位置。請參閱下圖。

建立後,AWS 主控台將提供兩個核心網路 BGP 對等 IP 位址,以用於 BGP 芳鄰關係中的 SD-WAN 端。將從上述原則的 [Edge 位置 (Edge Locations)] 部分中定義的 [內部 CIDR 範圍 (Inside CIDR Range)],隨機選取這些 IP。請參閱下圖。

VMware SD-WAN 組態

現在,必須將 BGP 芳鄰設定為指向 AWS 主控台在 連線對等 (Connect Peers) 下提供的兩個 IP 位址。由於這些 BGP 芳鄰 IP 來自原則中所定義的內部 CIDR 範圍,因此必須在 Edge 上使用 LAN 端路由介面 (GE3) 來建立靜態路由,以指向 CNE 芳鄰 IP。
備註: 每個連線對等都將取得不同的 BGP 核心網路對等 IP 位址,因此,對於 AWS 中樞叢集中的每個 vEdge,靜態路由和 BGP 芳鄰組態將有所不同。
  1. 設定靜態路由設定,如下圖中所示。

  2. 建立 BGP 芳鄰時,在其他選項 (Additional Options) 下,將 [躍點上限 (Max-Hop)] 設定為 2 或更多。請參閱下圖。
  3. 使用 [監控 (Monitor)] > [路由 (Routing)] > [BGP Edge 芳鄰狀態 (BGP Edge Neighbor State)],驗證是否已與所設定的芳鄰 IP 建立 BGP 對等關係。若想查看 [路由 (Routing)] 畫面,請參閱下圖。