本節提供簡要的概觀和詳細程序,來說明如何設定透過閘道的 NSD 到 VMware Cloud on AWS 閘道的路由型通道連接。

透過閘道的 NSD 到 VMware Cloud on AWS 閘道的路由型通道連接概觀

下圖說明 VMware SD-WAN 與 VMware Cloud on AWS 的整合,該整合在 VMware SD-WAN 閘道與 VMware Cloud 閘道之間使用 IPSec 連線。

程序

本節提供如何在 SDWAN 閘道與 VMware Cloud 閘道之間取得連線的逐步程序。
  1. 根據 SDDC 組織的 URL (VMware Cloud Services 登入頁面),登入 VMware Cloud 主控台。在雲端服務平台上,選取 VMware Cloud on AWS。
  2. 按一下 [網路與安全性 (Networking and Security)] 索引標籤,尋找用於 VPN 連線的公用 IP。VPN 公用 IP 會顯示在 [概觀 (Overview)] 窗格下方。

  3. 判斷流量加密選取項目 (感興趣的流量) 的網路/子網路,並記下這些網路/子網路。這些應源自 VMware Cloud 中的網路/安全性區段。(按一下網路 (Network) 下的區段 (Segments),找出此項目。)
  4. 登入 SD-WAN Orchestrator,並確認會顯示 SD-WAN Edge (其旁會顯示一個綠色狀態圖示)。

  5. 移至設定 (Configure) 索引標籤,然後按一下網路服務 (Network Services)。在 [透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destination via Gateway)] 中,按一下新增 (New) 按鈕。

  6. 提供透過閘道的非 SD-WAN 目的地的名稱。選取類型,在本例中為 [一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))],然後輸入 VMC 中的公用 IP (在步驟 2 中取得),然後按下一步 (Next)

  7. 按一下 [進階 (Advanced)] 按鈕,然後完成下列動作:
    1. 變更為所需的 PSK。
    2. 確保將加密設定為 AES 128。
    3. 將 DH 群組變更為 2。
    4. 將 PFS 啟用為 2。
    5. 將 [驗證演算法 (Auth Algorithm)] 設定為 SHA 1。
    6. 停用站台子網路,因為子網路是透過 BGP 學習的。(如果未設定 BGP,請新增在步驟 3 中擷取的站台子網路,例如靜態路由)。
    7. 按一下啟用通道 (Enable Tunnels) 旁的核取方塊。
    8. 按一下儲存變更 (Save Changes)

  8. 按一下檢視 IKE/IPSec 範本 (View IKE/IPSec Template),將資訊複製到文字檔案中,然後關閉視窗。

  9. 在左側面板中,按一下設定 (Configure) > 設定檔 (Profiles)

  10. 移至相關聯 SD-WAN Edge 的設定檔,然後按一下適當的設定檔。
  11. 在正確的設定檔下,完成下列動作。
    1. 移至裝置 (Device) 索引標籤,在 [雲端 VPN (Cloud VPN)] 和 [分支到透過閘道的非 SD-WAN 目的地 (Branch to Non SD-WAN Destination via Gateway)] 下,按一下啟用 (Enable) 旁的核取方塊。
    2. 在下拉式功能表中,選取已建立的透過閘道的 NSD (從步驟 6 開始)。
    3. 按一下畫面頂端的儲存變更 (Save Changes) 按鈕。

  12. 移至網路服務 (Network Services) 頁面,按一下透過閘道的 NSD 服務區域中的 BGP 按鈕。

  13. 設定 BGP 參數:
    1. 設定本機 ASN 65001
    2. 芳鄰 IP - 169.254.32.2。對等 ASN - 65000 (VMC 預設 ASN 為 65000)
    3. 本機 IP - 169.254.32.1
      備註: 附註:建議使用 169.254.0.0/16 子網路中的 /30 CIDR,但以下 VMC 保留位址除外 - 169.254.0.0-169.254.31.255、169.254.101.0-169.254.101.3

    通道在 SD-WAN Orchestrator 上應已就緒,並使用透過 IPSec 的 BGP。
  14. 登入 VMware Cloud 主控台。
  15. 移至 [網路與安全性 (Networking and Security)],然後按一下 [VPN] 索引標籤。在 VPN 區域中,選取 [路由型 VPN (Route Based VPN)],然後按一下 [新增 VPN (Add VPN)]。

  16. 提供 [路由型 VPN (Route Based VPN)] 的名稱,並設定以下內容。
    1. 選擇名稱。(選擇開頭為「To_SDWAN_Gateway」的名稱,以便在疑難排解和未來支援期間可以輕鬆識別 VPN)。
    2. 選取公用 IP。
    3. 輸入遠端公用 IP。
    4. 輸入遠端私人 IP。附註:這需要呼叫 GSS 支援,請參閱以下知識庫文章,並在聯絡支援時提及知識庫識別碼。https:// ikb.vmware.com/s/article/78196。
    5. 指定 BGP 本機 IP。
    6. 指定 BGP 遠端 IP。
    7. 在 [通道加密 (Tunnel Encryption)] 下,選取 AES 128。
    8. 在 [通道摘要演算法 (Tunnel Digest Algorithm)] 下,選取 SHA1。
    9. 請確定 [完全正向加密 (Perfect Forward Secrecy)] 設定為 [啟用 (Enabled)]。
    10. 輸入 PSK,以符合步驟 7A。
    11. 在 [IKE 加密 (IKE Encryption)] 下,選取 AES 128。
    12. 在 [IKE 摘要演算法 (IKE Digest Algorithm)] 下,選取 SHA 1。
    13. 在 [IKE 類型 (IKE Type)] 下,選取 IKEv2。
    14. 在 Diffie Hellman 下,選取 [群組 2 (Group 2)]。
    15. 按一下儲存 (Save)

  17. 組態完成後,通道會自動啟動,並將繼續與對等 (即 SD-WAN 閘道) 交涉 IKE 階段 1 和階段 2 參數。

  18. 在通道顯示 (綠色) 後,確認 SD-WAN Orchestrator 中透過閘道的 NSD 通道/BGP 狀態 (移至 [監控 (Monitor)] > [網路服務 (Network Services)])。

  19. 啟動從每一端連線的用戶端指向反向用戶端的 Ping,然後確認 Ping 可連線性。通道組態已完成並經過驗證。