VMware SD-WAN Edge 通常部署在 Amazon Web Services (AWS) 上的 Transit VPC 中。AWS 導入了 AWS TGW (Transit Gateway) Connect 服務的支援,可讓 SD-WAN 裝置連線至傳輸閘道。VMware SD-WAN Edge 現在有一項功能 (LAN 上透過 GRE 的 BGP 支援),此功能支援在 VMware SD-WAN Edge 上使用 AWS TGW Connect 服務來連線至 AWS Transit Gateway。
對於 AWS TGW Connect 服務,在 Transit VPC 中佈建的 Edge 需要使用 LAN (路由、非 WAN) 介面來設定 GRE 通道。這可有效使用 Edge Intelligence (EI) 上所設定的私人 IP,來設定指向傳輸閘道的 GRE 通道。
Amazon Web Services (AWS) 設定程序
- 在 AWS 入口網站中,在特定區域佈建 AWS Transit Gateway。此同一區域中必須具有佈建了 VMware SD-WAN Edge 的 Transit VPC。
檢查所要設定的傳輸閘道 CIDR 區塊,如下圖中所示。備註: 此區塊中的 IP 將用於 AWS TGW 上的 GRE 端點。之後在 VMware SD-WAN Edge 上的 BGP 組態中,就會使用 Amazon ASN。
- 為 Transit VPC 建立 VPC 連結,以指定 Edge 或 EI 的 LAN 介面所在的子網路。
建立 VPC 連結後,狀態 (State) 資料行中將會顯示可用 (Available)。
- 使用 VPC 連結來建立連線連結。
建立連線連結後,狀態 (State) 資料行中將會顯示可用 (Available)。
- 建立一個連線對等,此對等將轉換為 GRE 通道。指定以下參數:[傳輸閘道 GRE 位址 (Transit Gateway GRE Address)]、[對等 GRE 位址 (Peer GRE Address)]、[CIDR 區塊內的 BGP (BGP Inside CIDR block)] 以及 [對等 ASN (Peer ASN)]。
備註: [CIDR 區塊內的 BGP (BGP Inside CIDR block)] 和 [對等 ASN (Peer ASN)] 必須與 VMware SD-WAN Edge 上所設定的內容相符。在上述範例中:
- 172.43.0.24 是 AWS TGW 上的 GRE 外部 IP 位址,此 IP 是從傳輸閘道 CIDR 區塊來配置。
- 10.1.1.30 是 VMware SD-WAN Edge 上的 GRE 外部 IP 位址。
- 169.254.31.0/29 是內部 CIDR 區塊。此區塊中的位址將用於 BGP 芳鄰。
- 169.254.31.1 是 VMware SD-WAN Edge 上的 IP 位址。
- 169.254.31.2 和 169.254.31.3 是用於 AWS TGW 上 BGP 的位址。
- 64512 是在 AWS TGW 上所設定的 BGP ASN。
- 65000 是 VMware SD-WAN Edge 上所設定的 BGP ASN。
Transit VPC 的 VPC 資源映像會列出 LAN 端子網路和路由表,如下圖中所示。 - 在 Transit VPC 路由表中,為 TGW CIDR 區塊新增路由,並以目標或下一個躍點作為 VPC 連結。
備註: 例如,172.43.0.0/24 是 AWS TGW CIDR 區塊。
- 在同一路由表中,確認 LAN EI 子網路具有明確的子網路關聯。
VMware SASE Orchestrator 設定程序
- 在 VMware SASE Orchestrator 上,移至網路服務 (Network Services) > 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge),然後為 GRE 通道設定 AWS Transit Gateway Connect。
備註: 為 GRE 通道設定 AWS Transit Gateway Connect 服務時,請參閱以下重要注意事項:
- 可供設定的唯一 [通道模式 (Tunnel Mode)] 參數為 [作用中/作用中 (Active/Active)]。
- 對於使用 AWS Transit Gateway 服務的 GRE 通道,並無「保持運作」機制。
- 依預設,會為 GRE 通道設定 BGP。「BGP 保持運作」會用於 BGP 芳鄰狀態。
- Edge 不支援跨多個通道的 ECMP。因此,只會將一個 GRE 通道用於出口流量。
- 在 [設定檔 (Profile)] 下方,啟用 [雲端 VPN (Cloud VPN)],啟用 [透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destination via Edge)],並選擇 NSD。
- 在 [透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge)] 中的 Edge 組態下方,選取所設定的 NSD。
- 對於特定 NSD,選取 + 符號以設定 GRE 通道參數。設定下列項目:
- [通道來源 (Tunnel Source)] 為 LAN 介面
- [通道來源 IP (Tunnel Source IP)] 為 LAN 介面上所設定的 IP 位址;若為動態指定,請使用 [遠端診斷 (Remote Diagnostics)] > [介面統計資料 (Interface Stats)] 來取得 IP 位址
- TGW ASN
- [主要通道 (Primary Tunnel)] 參數可以藉由提供 [目的地 IP (Destination IP)] 來設定,此 IP 是 TGW Connect 對等上所提供的 IP 位址
- [內部網路/遮罩 (Internal Network/Mask)] 必須與 TGW Connect 對等內部組態中指定的相同。
- 可以為 [目的地 IP (Destination IP)] 和[內部網路/遮罩 (Internal Network/Mask)] 設定 [次要通道 (Secondary Tunnel)] 參數。
備註: 依預設,將為此功能啟用 BGP。系統會在 [本機 ASN (Local ASN)] 欄位中預先填入內容。此時會顯示透過 Edge 的非 SD-WAN 組態,如下圖中所示。
- 在上述組態中,將自動為芳鄰建立 BGP 組態。將自動為兩個 BGP 芳鄰建立指向 AWS Transit Gateway 的每個 GRE 通道組態,其中包含 [連結名稱 (Link Name)]、[芳鄰 IP (Neighbor IP)]、[通道類型 (Tunnel Type)] 和 [ASN] 的相關資訊。
在 其他選項 (Additional Options) 中,基於 TGW Connect 服務的需求,eBGP 的 [躍點上限 (Max-Hop)] 會設定為 2。根據 AWS 提供的建議,其他已填入的參數為 [保持運作 (Keep Alive)] 和 [保存計時器 (Hold Timer)]。另外,還預先填入了 BGP 本機 IP。這些參數無法修改。備註:
- 將自動新增兩個 NSD BGP 芳鄰。
- 將針對 [躍點上限 (Max-Hop)]、[本機 IP (Local IP)]、[保持運作 (Keep Alive)] 和 [保存計時器 (Hold Timer)] 的值,修改其他選項 (Additional Options) 欄位。
- 對於 GRE 通道端點,在 VMware SD-WAN Edge 上設定靜態路由,以指定下一個躍點,從而將子網路預設閘道和介面指定為 LAN 介面。